Show Table of Contents
5.3.1. 为了 在 CAPP 环境配置
为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。
5.3. 配置 audit 服务
审核守护程序可以在
/etc/audit/auditd.conf
配置文件中进行配置。这个文件包括修改审核守护进程特性的配置参数。紧跟 # 字符(#
)的任何空行或者文本都被忽略。所有配置参数的列表以及它们的解释都可以在 audit.conf(5) 手册页中找到。
5.3.1. 为了 在 CAPP 环境配置 auditd
默认
auditd
配置应该对大多数环境都适合。但是如果您的环境符合由 可控制存取保护档案(CAPP)所建立的标准,这将是公共标准认证的一部分,审核守护程序必须用以下设定配置:
- 保存审核日志文件的目录(
/var/log/audit/
)经常应该在另一个分区。这将防止其他过程耗费此目录中的空间,并且为剩余的审核守护程序提供准确的检测。 max_log_file
参数详细说明了每个审核日志文件最少的占用空间,参数必须设定为充分利用保存审核日志文件分区所在的可用空间。max_log_file_action
参数决定采取何种行动,一旦到达在max_log_file
中所设定的极限,则应该设定为keep_logs
防止审核日志文件被重写。space_left
参数明确说明磁盘中可用空间的数量,这样的话在space_left_action
参数中所设定的行动会被触发。此参数必须被设定为一个数字它会给予管理者足够的时间来回应和刷新磁盘空间。space_left
价值取决于审核日志文件生成的速度。- 我们推荐您采用合适的通知方法把
space_left_action
参数设定为email
或者exec
。 admin_space_left
参数明确说明自由空间的绝对最小数量,为了在admin_space_left_action
参数中所设定的行动会被触发,必须设定一个会给予管理者的日志行动总够空间的值。admin_space_left_action
参数必须设定single
使系统属于单一用户模式,并且允许管理者开放一些磁盘空间。disk_full_action
参数明确说明当保存审核日志文件的分区没有可用空间时,应该触发行动,并且必须设定为halt
或者single
。这保障了当审核不再记录事件时,系统也能在单一用户模式下关闭或者运行。disk_error_action
,明确说明如果保存在审核日志文件的分区检测到错误时,应该采取行动,必须设定syslog
、single
或者halt
,这取决于当地的安全政策有关硬件故障的处理。flush
配置参数必须设定为sync
或者data
。这些参数保证所有的审核事件数据能与磁盘中的日志文件同步。
剩余的配置选择应该根据当地安全政策建立。
为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。