Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
7.5.3. /etc/audit/audit.rules 파일에서 영구 감사 규칙 및 제어 정의
재부팅 후에도 지속되는 감사 규칙을 정의하려면
/etc/audit/audit.rules 파일에 직접 포함하거나 /etc/audit/rules. d/ 디렉터리에 있는 규칙을 읽는 augenrules 프로그램을 사용해야 합니다. /etc/audit/audit.rules 파일은 동일한 auditctl 명령줄 구문을 사용하여 규칙을 지정합니다. 해시 기호(#) 뒤에 오는 빈 줄과 텍스트는 무시됩니다.
auditctl 명령을 사용하여
-R 옵션을 사용하여 지정된 파일에서 규칙을 읽을 수도 있습니다. 예를 들면 다음과 같습니다.
~]# auditctl -R /usr/share/doc/audit/rules/30-stig.rules제어 규칙 정의
파일에는 감사 시스템의 동작을 수정하는 다음 제어 규칙만 포함할 수 있습니다(
-b,-D,-e,-f,-r,--loginuid-immutable, --backlog_wait_time ). 이러한 옵션에 대한 자세한 내용은 “제어 규칙 정의” 을 참조하십시오.
예 7.4. audit.rules의 제어 규칙
# Delete all previous rules -D # Set buffer size -b 8192 # Make the configuration immutable -- reboot is required to change audit rules -e 2 # Panic when a failure occurs -f 2 # Generate at most 100 audit messages per second -r 100 # Make login UID immutable once it is set (may break containers) --loginuid-immutable 1
파일 시스템 및 시스템 호출 규칙 정의
파일 시스템 및 시스템 호출 규칙은 auditctl 구문을 사용하여 정의합니다. 7.5.1절. “auditctl을 사용하여 감사 규칙 정의” 의 예제는 다음 규칙 파일을 사용하여 나타낼 수 있습니다.
예 7.5. audit.rules의 파일 시스템 및 시스템 호출 규칙
-w /etc/passwd -p wa -k passwd_changes -w /etc/selinux/ -p wa -k selinux_changes -w /sbin/insmod -p x -k module_insertion -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
사전 구성된 규칙 파일
/usr/share/doc/audit/rules/ 디렉토리에서 audit 패키지는 다양한 인증 표준에 따라 사전 구성된 규칙 파일 세트를 제공합니다.
30-NISPOM.rules- 국가 산업 보안 운영 설명서의 정보 시스템 보안 장에 지정된 요구 사항을 충족하는 감사 규칙 구성입니다.30- PCI-dss-v31.rules- PCI DSS(Payment Card Industry Data Security Standard) v3.1로 설정된 요구 사항을 충족하는 감사 규칙 구성입니다.30-STIG.rules-STIG(Security Technical Implementation Guides)에 의해 설정된 요구사항을 충족하는 감사 규칙 구성.
이러한 구성 파일을 사용하려면 원본
/etc/audit/audit.rules 파일의 백업을 생성하고 /etc/audit/audit.rules 파일을 통해 선택한 구성 파일을 복사합니다.
~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup ~]# cp /usr/share/doc/audit/rules/30-stig.rules /etc/audit/audit.rules
참고
감사 규칙에는 번호를 정렬할 수 있는 번호가 매겨져 있습니다. 이름 지정 체계에 대한 자세한 내용은
/usr/share/doc/audit/rules/README-rules 파일을 참조하십시오.
augenrules 를 사용하여 영구 규칙 정의
augenrules 스크립트는
/etc/audit/rules.d/ 디렉터리에 있는 규칙을 읽고 audit.rules 파일로 컴파일합니다. 이 스크립트는 자연적인 정렬 순서에 따라 특정 순서로 .rules 로 끝나는 모든 파일을 처리합니다. 이 디렉터리의 파일은 다음과 같은 의미로 그룹으로 구성됩니다.
- 10 - kernel 및 auditctl 구성
- 20 - 일반 규칙과 일치 할 수 있지만 다른 일치를 원하는 규칙
- 30 - 주요 규칙
- 40 - 선택적 규칙
- 50 - 서버 특정 규칙
- 70 - 시스템 로컬 규칙
- 90 - 종료(Mmutable)
이 규칙은 한 번에 모두 사용할 수 없습니다. 이러한 정책은 간주해야 하는 정책의 일부이며, 개별 파일을
/etc/audit/rules.d/ 로 복사합니다. 예를 들어 STIG 구성에서 시스템을 설정하려면 규칙 10-base-config, 30-stig, 31-privileged, 99-finalize를 복사합니다.
/etc/audit/rules.d/ 디렉터리에 규칙이 있으면 --load 지시문을 사용하여 augenrules 스크립트를 실행하여 로드합니다.
~]# augenrules --load
augenrules --load No rules
enabled 1
failure 1
pid 634
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
enabled 1
failure 1
pid 634
rate_limit 0
backlog_limit 8192
lost 0
backlog 1
감사 규칙 및 augenrules 스크립트에 대한 자세한 내용은
audit.rules(8) 및 augenrules(8) 매뉴얼 페이지를 참조하십시오.
