Chinaunix首页 | 论坛 | 博客
  • 博客访问: 342078
  • 博文数量: 64
  • 博客积分: 2301
  • 博客等级: 大尉
  • 技术积分: 570
  • 用 户 组: 普通用户
  • 注册时间: 2009-03-25 11:48
文章分类

全部博文(64)

文章存档

2013年(5)

2012年(6)

2011年(36)

2010年(7)

2009年(10)

分类: LINUX

2009-10-22 10:20:34

如何在红帽企业版Linux上运行Linux审计子系统(Linux Aduit Subsystem)?


LAus可以用来监控文件访问和操作系统的一些情况。从红帽企业版Linux3 U2开始发布LAus,但运行的不是很稳定,从U3开始,LAus可以稳定的运行并添加了一些新的功能。如果您想使用LAus,建议您使用红帽企业版Linux3 U3以上版本。

 

在您的系统上,需要安装以下软件包:

 



* laus
* laus-libs
* eal3-certification-doc
* eal3-certification

 

LAuS的配置文件在/etc/audit目录,您可以参考man手册来修改您的配置文件。另外一个比较好的参考文档是EAL3安全认证的设置指南,因为它是使用LAus来执行审计。您可以在以下目录找到这份设置指南:

 



/usr/share/doc/eal3-certification-doc-0.7/

 

安 装完需要的软件包,编辑好配置文件,然后执行命令service audit start启动LAuS服务。要让LAuS服务在每次系统启动的时候自动运行,执行命令chkconfig audit on。 audit服务启动以后,LAuS会立即开始审计特定的一些进程,例如在cron里面定期执行的程序。

 

如果想用LAuS监控用户的进程,例如logins,和文件访问。logins应该被设置成运行在审计环境下。对于文本模式和GUI模式logins,请分别修改/etc/pam.d/login和/etc/pam.d/gdm,添加一行:

 



session optional pam_laus.so

 

在 这两个文件的session章节的最后。 修改完成以后,建议您重新启动系统。 上述修改完成以后,LAuS将会根据/etc/audit/filter.conf文件里面的配置来记录每个用户需要被监控的内容。 提示: 如果在修改LAuS配置以前已经有用户登录了系统,而且在修改配置以后,您没有重启系统。如果想对这些用户开始审计,需要这些用户先退出系统,然后再登 录。

 

如果需要对通过SSH登录系统的用户也做审计,需要修改/etc/pam.d/sshd,添加一行:

 



account required pam_laus.so detach

 

提示: 修改/etc/pam.d/sshd以后,必须重启sshd服务。在修改sshd配置文件以前登录到系统的用户,必须再重新登录系统。

 

在LAuS记录系统活动的时候,可以运行命令aucat打印日志信息。如果想进一步控制输出的信息,可以使用augrep命令。如何使用aucat和augrep命令,请参考man手册。

 

非常重要的提示:LAuS记录的日志文件是永远不会自动删除的。所以,系统管理员必须监控/var/log/audit.d目录,在磁盘空间快满的时候,删除或者打包save.*文件。请参考红帽知识库ID为4499的文章来处理这个问题。



在/var/log/audit.d目录下的文件是由Linux审计子系统(Linux Audit
Subsystem,简称LAuS)产生的。为了安全目的,LAuS在启动以后,默认配置是会记
录一些特定的系统活动。如果不需要进行安全审计,可以通过以下命令关机LAuS服务:

service audit stop
chkconfig audit off

停止LAuS服务以后,在/var/log/audit.d目录下面的任何save.*文件都可以删除。
我们推荐您原封不动的保留bin.*文件, 以备将来使用。LAuS功能在红帽企业版
Linux3以上版本默认没有打开。

因为LAuS被用来作安全审计,所以它的日志文件是不会自动删除,会一直保留。如
果您的系统负载比较重,并且在执行LAuS监控系统, LAuS的日志文件会增长的很
快,有可能会占满/var的空间导致系统崩溃。有几种方式可以用来阻止以上事件发
上。最简单的方法是定时监控 /var/log/audit.d目录的大小,删除过时的save.*
文件。另一种技术是不要把归档的审计日志保存为save.*文件。修改
/etc/audit/audit.conf里面的notify行,用/bin/true代替原先的/usr/sbin/audbin:

/etc/audit/audit.conf


output {
mode = bin;
num-files = 4;
file-size = 20M;
file-name = "/var/log/audit.d/bin";
notify = "/bin/true";


第三种方式是写一个脚本定时删除save.*文件。
阅读(1511) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~