Операционная система FreeBSD включает в себя поддержку аудита событий безопасности. Аудит позволяет выполнять надежное, детальное и гибко настраиваемое протоколирование различных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти записи могут быть незаменимы для мониторинга функционирующей системы, обнаружения вторжений и для анализа событий, приведших к краху системы. В FreeBSD реализован опубликованный SunTM интерфейс прикладного программирования (Application Programming Interface, API), называемый Basic Security Module (BSM), и формат файла, который совместим с реализациями аудита в SolarisTM и Mac OS(R) X.
В этой главе описывается процесс установки и конфигурирования системы аудита. В том числе, приводится разъяснение политик аудита, а также даются примеры конфигурационных файлов.
После прочтения этой главы вы будете знать:
Что такое система аудита и как она работает.
Как настроить аудит во FreeBSD для мониторинга пользователей и процессов.
Как просматривать журнал аудита при помощи инструментов просмотра и фильтрации (reduction).
Перед прочтением этой главы вы должны:
Понимать основы UNIX(R) и FreeBSD (Глава 4, Основы UNIX).
Уметь конфигурировать и компилировать ядро (Глава 9, Настройка ядра FreeBSD).
Понимать основные принципы безопасности в применении к операционной системе FreeBSD (Глава 14, Безопасность).
Реализация аудита имеет известные ограничения. Не все события в настоящий момент протоколируемые. Также, некоторые механизмы входа в систему, такие как оконные менеджеры X11 или демоны от сторонних производителей, не настраивают аудит пользовательских сессий должным образом.
Использование системы аудита может привести к
генерированию изобилующих подробностями журнальных файлов.
Их размер на загруженных серверах в некоторых конфигурациях
может превышать несколько гигабайт в неделю. Администраторы
должны принимать во внимание требования к дисковому
пространству для нагруженных конфигураций системы аудита.
Например, желательно выделить отдельный раздел для файловой
системы аудита /var/audit, чтобы
заполнение раздела аудита не влияло на другие файловые
системы.
Этот, и другие документы, могут быть скачаны с http://ftp.FreeBSD.org/pub/FreeBSD/doc/.
По вопросам, связанным с FreeBSD, прочитайте
документацию прежде чем писать в
<questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите в рассылку
<doc@FreeBSD.org>.