Linux的audit功能通过详细的分析你的系统到底发生了什么事情而让你操作系统更加安全。audit自身不能从代码故障等任何的手段为你的操作系统提供保护,但是Audit可以跟踪出现的问题,从而帮助你采取另外的保护措施,例如用杀毒软件去保护操作系统。
Audit由几个部分组成,每个部分在整个框架之中都起着重要的作用。Audit内核模块能够拦截到系统调用的信息并能够记录相关的事件。auditd守护进程将审计报告写入到存储设备上。各种命令行功能实现了显示、查询和归档audit的相关信息。
Audit能够让你做下面的各种事情:
将进程关联到某个用户上。Audit 能够知道启动某一个进程的用户ID。这为超级管理员或者安全管理员去精确跟踪哪个用户拥有的进程可能对操作系统做出一些有害的操作。
检查审计记录。Linux审计功能提供了一些工具将审计报告写道硬盘上,然后解析为我们容易阅读的格式。
能够审核一些特定的审计事件。Audit提供了允许用户去过滤自己感兴趣的特定的审计信息的功能,我们能够过滤的信息由下面几种:
User、Group 、Audit ID 、Remote Hostname 、Remote Host Address
System Call 、System Call Arguments 、File 、File Operations 、Success or Failure 。
应用一个特定审计。Audit提供了过滤你感兴趣的审计报告的功能,也可以配置Audit去选择性的记录一些事件。你可以设置自己的规则集合,让audit守护进程只记录你感兴趣的事情,
保证审计报告的有效性。最后审计报告的拥有者是root用户,因此只能被root用户删除。未经授权的用户是不能删除这些审计日志的。
防止审计数据的丢失。如果内核用完了内存,如audit守护进程的backlog过多或者是他的上限过度,audit可以触发强制关闭系统来阻止被监控的时间逃出audit的监控。触发强制关闭是由audit内核引发的,此时不会同步任何日志到硬盘上。这个默认配置应该是记录一个警告信息到syslog之中而不是强制关闭系统。
如果当我们记录日志而用光了硬盘的存储空间,audit系统可以配置去执行清理关闭,当用光了硬盘的空间的时候,这个默认的配置告诉audit的守护进程去停止记录。
阅读(756) | 评论(0) | 转发(0) |
