6 votos

Sugerencia para auditd set-up

Estoy tratando de aprender acerca de la protección de un cuadro de Linux (estoy usando Ubuntu). Auditd se recomienda para las actividades de monitoreo en el nodo. He conseguido instalarlo, pero no puedo encontrar mucha información acerca de cómo configurar para asegurar mi nodo.

¿Cómo debo configurar auditd a hacer mi nodo más seguro? ¿Qué debo vigilar? Por qué? Estoy en busca de set-up ejemplos y la recomendación de los administradores experimentados.

Gracias!

4voto

Scott Pack Puntos 11452

Para ser claros, auditd es una herramienta muy valiosa, pero no hará que su sistema sea más seguro. ¿Qué va a hacer, es la de proporcionar a usted con mucho más detallada en el registro de ciertas actividades. Alguien todavía tendrá que revisar los registros generados. Mucho como el árbol, si una actividad es monitoreada, pero nadie está mirando, hacer los registros de la materia?

En el más simple, he utilizado el siguiente para /etc/audit/audit.rules. Se generará un registro de cada vez que el setrlimit o stime sistema de llamadas de salida, así como cada vez que un directorio es eliminado.

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

Para algunos de los ejemplos más detallados retirar el CIS punto de Referencia para RHEL 5.1-5.2. Lamentablemente, no hay uno para Ubuntu, y la de Debian es de varios años. Sin embargo, no hay nada en esa sección que es la distribución específica.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: