12.3. 보안 환경에 대해 auditd 구성
기본 auditd 구성은 대부분의 환경에 적합합니다. 그러나 환경이 엄격한 보안 정책을 충족해야 하는 경우 /etc/audit/auditd.conf 파일에서 감사 데몬 구성에 대해 다음 설정을 변경할 수 있습니다.
log_file-
감사 로그 파일을 보유한 디렉터리(일반적으로
/var/log/audit/)는 별도의 마운트 지점에 있어야 합니다. 이렇게 하면 다른 프로세스가 이 디렉터리의 공간을 소비하지 않도록 하고 감사 데몬의 나머지 공간을 정확하게 탐지할 수 있습니다. max_log_file-
감사 로그 파일이 있는 파티션에서 사용 가능한 공간을 완전히 사용하도록 단일 감사 로그 파일의 최대 크기를 지정합니다.
max_log_file'매개 변수는 최대 파일 크기를 메가바이트 단위로 지정합니다. 지정된 값은 숫자여야 합니다. max_log_file_action-
max_log_file에 설정된 한도에 도달한 후 감사 로그 파일을 덮어쓰지 않도록keep_logs로 설정해야 하는 작업을 결정합니다. space_left-
space_left_action매개변수에 설정된 작업이 트리거되는 디스크에 남아 있는 여유 공간의 양을 지정합니다. 관리자에게 응답하는 데 충분한 시간을 제공하고 디스크 공간을 확보할 수 있는 번호로 설정해야 합니다.space_left값은 감사 로그 파일이 생성되는 비율에 따라 달라집니다. space_left 값이 정수로 지정되면 절대 크기(MiB)로 해석됩니다. 값이 1에서 99 사이의 숫자로 지정되고 백분율 기호(예: 5%)가 있으면 감사 데몬은log_file을 포함하는 파일 시스템의 크기에 따라 절대 크기를 메가바이트 단위로 계산합니다. space_left_action-
space_left_action매개변수를 적절한 알림 방법으로email또는exec로 설정하는 것이 좋습니다. admin_space_left-
admin_space_left_action매개변수에 설정된 작업을 트리거하는 데 필요한 최소 최소 공간을 지정하며 관리자가 수행하는 로그 작업에 충분한 공간을 남겨 두는 값으로 설정해야 합니다. 이 매개변수의 숫자 값은 space_left의 숫자보다 작아야 합니다. 또한 감사 데몬이 디스크 파티션 크기에 따라 숫자를 계산하도록 숫자에 백분율 기호(예: 1%)를 추가할 수도 있습니다. admin_space_left_action-
시스템을
단일사용자 모드로 설정하고 관리자가 일부 디스크 공간을 확보하도록 단일으로 설정해야 합니다. disk_full_action-
감사 로그 파일을 보유한 파티션에서 사용 가능한 공간을 사용할 수 없는 경우 트리거되는 작업을
중지하거나단일으로 설정해야 합니다. 이렇게 하면 감사가 더 이상 이벤트를 로깅할 수 없는 경우 시스템이 단일 사용자 모드에서 종료되거나 작동됩니다. disk_error_action-
하드웨어 중단과 관련된 로컬 보안 정책에 따라 syslog 로그 파일을 보유하는 파티션에서 오류가 감지되는 경우 트리거되는 작업을
syslog,단일또는정지로 설정해야 합니다. flush-
incremental_async로 설정해야 합니다.freq매개 변수와 함께 작동합니다. 이 매개 변수는 하드 드라이브와 하드 동기화를 강제 적용하기 전에 디스크에 보낼 수 있는 레코드 수를 결정합니다.freq매개변수는100으로 설정해야 합니다. 이러한 매개 변수를 사용하면 감사 이벤트 데이터가 디스크의 로그 파일과 동기화되고 버스트 작업에 적합한 성능을 유지할 수 있습니다.
나머지 구성 옵션은 로컬 보안 정책에 따라 설정해야 합니다.
