5.3. 配置 audit 服务

审核守护程序可以在 /etc/audit/auditd.conf 配置文件中进行配置。这个文件包括修改审核守护进程特性的配置参数。紧跟 # 字符(#)的任何空行或者文本都被忽略。所有配置参数的列表以及它们的解释都可以在 audit.conf(5) 手册页中找到。

5.3.1. 为了 在 CAPP 环境配置 auditd

默认 auditd 配置应该对大多数环境都适合。但是如果您的环境符合由 可控制存取保护档案(CAPP)所建立的标准,这将是公共标准认证的一部分,审核守护程序必须用以下设定配置:
  • 保存审核日志文件的目录(/var/log/audit/)经常应该在另一个分区。这将防止其他过程耗费此目录中的空间,并且为剩余的审核守护程序提供准确的检测。
  • max_log_file 参数详细说明了每个审核日志文件最少的占用空间,参数必须设定为充分利用保存审核日志文件分区所在的可用空间。
  • max_log_file_action 参数决定采取何种行动,一旦到达在 max_log_file中所设定的极限,则应该设定为 keep_logs 防止审核日志文件被重写。
  • space_left 参数明确说明磁盘中可用空间的数量,这样的话在space_left_action 参数中所设定的行动会被触发。此参数必须被设定为一个数字它会给予管理者足够的时间来回应和刷新磁盘空间。 space_left 价值取决于审核日志文件生成的速度。
  • 我们推荐您采用合适的通知方法把 space_left_action 参数设定为email 或者 exec
  • admin_space_left 参数明确说明自由空间的绝对最小数量,为了在 admin_space_left_action 参数中所设定的行动会被触发,必须设定一个会给予管理者的日志行动总够空间的值。
  • admin_space_left_action 参数必须设定 single 使系统属于单一用户模式,并且允许管理者开放一些磁盘空间。
  • disk_full_action 参数明确说明当保存审核日志文件的分区没有可用空间时,应该触发行动,并且必须设定为 halt 或者 single。这保障了当审核不再记录事件时,系统也能在单一用户模式下关闭或者运行。
  • disk_error_action,明确说明如果保存在审核日志文件的分区检测到错误时,应该采取行动,必须设定 syslogsingle 或者 halt,这取决于当地的安全政策有关硬件故障的处理。
  • flush 配置参数必须设定为 sync 或者 data。这些参数保证所有的审核事件数据能与磁盘中的日志文件同步。
剩余的配置选择应该根据当地安全政策建立。