FreeBSD_11-系统管理——{Part_7-AUDIT}

 相关概念

  • EVENT
    • 事件,审计系统计录的对象,包括用户登陆、网络与文件操作等各方面
  • CLASS
    • 类,对具有相同或类似属性的事件的分組
  • RECORD
    • 记录,审计系统生成的日志中的每一条信息
  • TRAIL
    • 账目,即日志文件
  • SELECTION EXPRESSION
    • 筛选表达式,用于提取有效审计信息的語法
  • PRESELECTION
    • 預设筛选,用于指定审计日志的记录范围
  • REDUCTION
    • 简化,或称为浓縮,是指从日志中提取重要内容的过程,也包括经过一段較长时间之后,对旧的审计日志中非重要部分进行清除以释放磁盘空间的行为

系统支持

  • # /etc/rc.conf[.local]
    auditd_enable="YES"
    # /usr/src/sys/amd64/conf/MyKernel
    options                AUDIT 

配置

  • CONFIG FILE:/etc/security/audit_*
    • audit_class:类定义,其包含的具体内容定义在 audit_event 中,可以自定义其归属关系
    • audit_control:行为控制,针对整个系统
    • audit_event:可审计事件信息表
    • audit_user:对具体每个用户的行为控制
    • audit_warn:自带的警示脚本
  • 預置的 CLASS 定义
  • all    all    #匹配所有事件类别
    aa    authentication and authorization  #认証 
    ad    administrative    #系统管理行为
    ap    application    #应用程序定义的行为
    cl    file close    #关闭文件相关的系统調用
    ex    exec    Audit program execution  #程序运行
    fa    file attribute access    #文件属性查看,即 stat 之类的系统調用
    fc    file create     #文件创建
    fd    file delete     #文件册除
    fm    file attribute modify    #文件属性更改
    fr    file read    #文件防问/读取
    fw    file write    #文件更改或写入
    io    ioctl    #针对 ioctl 系统調用
    ip    ipc    #进程间通信,包括 POSIX 与 SYSTEM V 两类
    lo    login_logout    #系统登入与登出
    na    non attributable    #无属主事件,即登陆之前的行为,如失败的登陆尝试等
    no    invalid class    #无效事件,无关归类的事件
    nt    network    #网络请求与接受事件
    ot    other    #其它小概率事件
    pc    process    #审计进程的行为,如某进程調用 exec 类系统調用执行了哪些額外操作
  • /etc/security/audit_user
    • 以冒号分割为三个字段,分别为用户名、总是审计的事件、从不审计的事件
    • # 留空  表示记录成功或失败的事件
      # +  表示仅记录执行成功的事件
      # -  表示仅记录执行失败的事件
      # ^  表示记录既没有返回成功也没有返回失败的事件
      # ^-  没有返回失败信号的事件
      # ^+  没有返回成功信号的事件
      # 以上规则同样适用于 audit_control 文件中的 flags 与 naflags 字段
      John:lo,+ex:no #对 John 用户的登入登出及成功执行的程序进行审计;无法归类的事件不审计 www:fc,+ex:no #对 www 用户的文件创建与成功执行程序事件进行审计;无法归类的事件不审计
  • /etc/security/audit_control
    • 参数含义
    • dir:/var/audit  #存放审计日志的目录
      dist:off  #当设定为 on 或 yes 时,所有审计日志文件都会在 /var/audit/dist 下创建更链接,供 auditdistd 使用,通过网络进行安全的分布式存储
      flags:lo,aa  #指定对所有用户都审计的事件类别
      host:10.1.1.2  #指定主机名称 或 IP,追加在每条审计记录的 header 之前;若使用主机名,在 /etc/hosts 中静态添加,不要依靠 DNS
      naflags:lo  #指定对哪些类别中的无法判定执行主体的事件进行审计
      minfree:5  #存放日志的目录所在文件系统需要为其它应用保留的空间百分比,如 5 代表預留 5%
      policy:cnt,argv  #全局策略参数(cnt:某个事件审计失败时継续运行,argv:)
      filesz:10M  #指日志大小上限,0 表示不限制;达到指定大小时,会创建一个新文件継续记录,可以使用的单位:B(Bytes)、K(Kilobytes)、M(Megabytes)、G(Gigabytes),指定的值小于 512K 时,会被忽略
      expire-after:60d AND 1G  #指定审计日志失效条件,可以为时间(单位:y/d/h/s)或 size (单位:G/M/K/B)形式,可以用 AND、OR 逻辑进行組合,如本例指创建时间超过 60 天的日志会被清除,但如果所有日志的总大小没有超过 1G,则不清除,直到总大小达到 1G 

管理

  • audit 用户組中的成员拥有对 /var/audit 下审计日志的查看权限
  • 审计日志文件是以 BSD 二进制形式存储的,必須使务对应的工具进行管理:praudit、auditreduce
  • praudit
  • #将审计日志文件转换为可读文件格式,每个事件的记录起始位置用 header 与 trailer 标识;-x 表示转换为 xml 格式
    praudit [-x] /var/audit/AUDITFILE #示例: header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,John #命令及参数,此处意为执行了 finger John 命令 path,/usr/bin/finger #所执行的命令的绝对路径 attribute,555,root,wheel,90,24918,104944 #这是对 finger 二进制文件当时的属性的描述 subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100 #audit user ID, effective user ID and group ID, real user ID and group ID, process ID, session ID, port ID, and login address return,success,0 #执行結果 trailer,133 #結束标识
    # 仅提取 John 用户的审计日志
    auditreduce -u John /var/audit/AUDITFILE | praudit
    # 以类似于 top 命令的界面形式动态监控
    # 注意:监控行为本身会产生大量审计记录,影响视图可读性,此方法不适用于过于精细的审计对象

    praudit /dev/auditpipe #auditpipe 设备默认只有 root 可以訪问,若要授权 audit 用户組中的成员使用,在 /etc/devfs.rules 中添加 add path 'auditpipe*' mode 0440 group audit
  • 日志轮转(rotate)
    • 审计日志的分段存储,由 audit 自身管理,不能使用 newsyslog
    • 手动分段的命令是:audit -n,执行后会创建一个新的日志文件供内核写入;可以写入 crontab 中定时轮转
  • 日志压缩
    • 可以在 /etc/security/audit_warn 中添加自定义脚本内容
    • # 日志文件会在正常关闭的时候执行压缩
      # 如:关机或到达临界条件需要关闭旧的日志文件进行 rotate 时
      if [ "$1" = closefile ]; then #其中的 $1、closefile、$2 等是系统預先定义好的变量与标识
              xz $2
      fi 

...

posted @ 2016-11-18 23:07  范辉  阅读(530)  评论(0编辑  收藏  举报