19.1.概述
FreeBSD 操作系统 包括对安全事件审计的支持。事件审计支持可靠、细粒度和可配置的记录各种安全相关系统事件,包括登录、配置更改以及文件和网络访问。这些日志记录对于实时系统监控、入侵检测和事后分析可能是很宝贵的。FreeBSD 实现了 Sun™发布的基本安全模块(BSM)应用程序编程接口(API)和文件格式,并且与 Solaris™和 Mac OS® X 的审计实现具有互操作性。
本章重点介绍事件审计的安装和配置。它解释了审计策略,并提供了一个示例审计配置。
阅读本章后,你将了解到:
事件审计的定义及其工作原理。
如何为 FreeBSD 用户和进程配置事件审计。
如何使用审计精简和审查工具查看审计跟踪。
在阅读本章之前,你应该:
理解 UNIX® 和 FreeBSD 基础知识 (FreeBSD 基础).
熟悉内核配置/编译的基础知识 (配置 FreeBSD 内核).
对 FreeBSD 安全性有一定的了解及其相关性 (安全性).
审计设施存在一些已知限制。并非所有与安全相关的系统事件都可以审计,某些登录机制(如基于 Xorg 的显示管理器和第三方守护程序)未正确配置用于用户登录会话的审计功能。 安全事件审计设施能够生成系统活动的非常详细的日志。在繁忙的系统上,如果配置为高详细度,审计文件数据可能非常庞大,有时每周超过几 GB。管理员应考虑与高卷量审计配置相关的磁盘空间需求。例如,可能希望将一个文件系统专用于/var/audit,以防审计文件系统变满影响其他文件系统。
最后更新于