Audit biztonsági események
Ez a fejezet alapvetően leírja az ellenőrzési rendszer telepítését és konfigurálását. Különösen az ellenőrzési irányelvek magyarázata, valamint a konfigurációs fájlok példái.
E fejezet elolvasása után tudni fogod:
Mi az ellenőrzési rendszer és hogyan működik.
A FreeBSD könyvvizsgálatának beállítása a felhasználók és folyamatok monitorozásához.
Mielőtt elolvasta ezt a fejezetet, a következőket kell tennie:
Ismerje meg a UNIX ® és a FreeBSD alapjait (3. fejezet).
Beállíthatja és fordíthatja a rendszermagot (8. fejezet).
Ismertesse a FreeBSD operációs rendszerre alkalmazott biztonsági alapelveket (14. fejezet).
Figyelem: A FreeBSD 6.2-ben végzett ellenőrzés végrehajtása kísérleti jellegű, a való világban végzett feladatok csak a kísérleti szoftverek használatához vezető összes kockázat alapos megvizsgálása után hajthatók végre. Az ismert korlátozások magukban foglalják azt a tényt, hogy nem minden eseményt rögzítenek. Például néhány bejelentkezési mechanizmust (X11-alapú ablakkezelők, sok szoftver harmadik felektől) nem konfiguráltak a bejelentkezési események naplózására az ellenőrzési alrendszeren keresztül.
Figyelem: A rendszer ellenőrzése hatalmas naplófájlokat generálhat: méretük nagy terhelésű kiszolgálókon egyes konfigurációkban elérheti a több gigabájtot hetente. A rendszergazdáknak gondosan ellenőrizniük kell a lemezterületet az ellenőrzési rendszer részében. Például ajánlott különálló partíciót kiválasztani az audit / var / audit fájlrendszerhez. így az ellenőrzési szakasz túlcsordulása nem befolyásolja a rendszer többi részének teljesítményét.