分类: LINUX
2009-06-03 15:12:30
LAus可以用来监控文件访问和操作系统的一些情况。从红帽企业版Linux3 U2开始发布LAus,但运行的不是很稳定,从U3开始,LAus可以稳定的运行并添加了一些新的功能。如果您想使用LAus,建议您使用红帽企业版Linux3 U3以上版本。
在您的系统上,需要安装以下软件包:
* laus
* laus-libs
* eal3-certification-doc
* eal3-certification
LAuS的配置文件在/etc/audit目录,您可以参考man手册来修改您的配置文件。另外一个比较好的参考文档是EAL3安全认证的设置指南,因为它是使用LAus来执行审计。您可以在以下目录找到这份设置指南:
/usr/share/doc/eal3-certification-doc-0.7/
安 装完需要的软件包,编辑好配置文件,然后执行命令service audit start启动LAuS服务。要让LAuS服务在每次系统启动的时候自动运行,执行命令chkconfig audit on。 audit服务启动以后,LAuS会立即开始审计特定的一些进程,例如在cron里面定期执行的程序。
如果想用LAuS监控用户的进程,例如logins,和文件访问。logins应该被设置成运行在审计环境下。对于文本模式和GUI模式logins,请分别修改/etc/pam.d/login和/etc/pam.d/gdm,添加一行:
session optional pam_laus.so
在 这两个文件的session章节的最后。 修改完成以后,建议您重新启动系统。 上述修改完成以后,LAuS将会根据/etc/audit/filter.conf文件里面的配置来记录每个用户需要被监控的内容。 提示: 如果在修改LAuS配置以前已经有用户登录了系统,而且在修改配置以后,您没有重启系统。如果想对这些用户开始审计,需要这些用户先退出系统,然后再登 录。
如果需要对通过SSH登录系统的用户也做审计,需要修改/etc/pam.d/sshd,添加一行:
account required pam_laus.so detach
提示: 修改/etc/pam.d/sshd以后,必须重启sshd服务。在修改sshd配置文件以前登录到系统的用户,必须再重新登录系统。
在LAuS记录系统活动的时候,可以运行命令aucat打印日志信息。如果想进一步控制输出的信息,可以使用augrep命令。如何使用aucat和augrep命令,请参考man手册。
非常重要的提示:LAuS记录的日志文件是永远不会自动删除的。所以,系统管理员必须监控/var/log/audit.d目录,在磁盘空间快满的时候,删除或者打包save.*文件。请参考红帽知识库ID为4499的文章来处理这个问题。
在/var/log/audit.d目录下的文件是由Linux审计子系统(Linux Audit
Subsystem,简称LAuS)产生的。为了安全目的,LAuS在启动以后,默认配置是会记
录一些特定的系统活动。如果不需要进行安全审计,可以通过以下命令关机LAuS服务:
service audit stop
chkconfig audit off
停止LAuS服务以后,在/var/log/audit.d目录下面的任何save.*文件都可以删除。
我们推荐您原封不动的保留bin.*文件, 以备将来使用。LAuS功能在红帽企业版
Linux3以上版本默认没有打开。
因为LAuS被用来作安全审计,所以它的日志文件是不会自动删除,会一直保留。如
果您的系统负载比较重,并且在执行LAuS监控系统, LAuS的日志文件会增长的很
快,有可能会占满/var的空间导致系统崩溃。有几种方式可以用来阻止以上事件发
上。最简单的方法是定时监控 /var/log/audit.d目录的大小,删除过时的save.*
文件。另一种技术是不要把归档的审计日志保存为save.*文件。修改
/etc/audit/audit.conf里面的notify行,用/bin/true代替原先的/usr/sbin/audbin:
/etc/audit/audit.conf
output {
mode = bin;
num-files = 4;
file-size = 20M;
file-name = "/var/log/audit.d/bin";
notify = "/bin/true";
第三种方式是写一个脚本定时删除save.*文件。