Show Table of Contents
5.3.1. 为了 在 CAPP 环境配置
5.3. 配置 audit 服务
审核守护程序可以在
/etc/audit/auditd.conf 配置文件中进行配置。这个文件包括修改审核守护进程特性的配置参数。紧跟 # 字符(#)的任何空行或者文本都被忽略。所有配置参数的列表以及它们的解释都可以在 audit.conf(5) 手册页中找到。
5.3.1. 为了 在 CAPP 环境配置 auditd
默认
auditd 配置应该对大多数环境都适合。但是如果您的环境符合由 可控制存取保护档案(CAPP)所建立的标准,这将是公共标准认证的一部分,审核守护程序必须用以下设定配置:
- 保存审核日志文件的目录(
/var/log/audit/)经常应该在另一个分区。这将防止其他过程耗费此目录中的空间,并且为剩余的审核守护程序提供准确的检测。 max_log_file参数详细说明了每个审核日志文件最少的占用空间,参数必须设定为充分利用保存审核日志文件分区所在的可用空间。max_log_file_action参数决定采取何种行动,一旦到达在max_log_file中所设定的极限,则应该设定为keep_logs防止审核日志文件被重写。space_left参数明确说明磁盘中可用空间的数量,这样的话在space_left_action参数中所设定的行动会被触发。此参数必须被设定为一个数字它会给予管理者足够的时间来回应和刷新磁盘空间。space_left价值取决于审核日志文件生成的速度。- 我们推荐您采用合适的通知方法把
space_left_action参数设定为email或者exec。 admin_space_left参数明确说明自由空间的绝对最小数量,为了在admin_space_left_action参数中所设定的行动会被触发,必须设定一个会给予管理者的日志行动总够空间的值。admin_space_left_action参数必须设定single使系统属于单一用户模式,并且允许管理者开放一些磁盘空间。disk_full_action参数明确说明当保存审核日志文件的分区没有可用空间时,应该触发行动,并且必须设定为halt或者single。这保障了当审核不再记录事件时,系统也能在单一用户模式下关闭或者运行。disk_error_action,明确说明如果保存在审核日志文件的分区检测到错误时,应该采取行动,必须设定syslog、single或者halt,这取决于当地的安全政策有关硬件故障的处理。flush配置参数必须设定为sync或者data。这些参数保证所有的审核事件数据能与磁盘中的日志文件同步。
剩余的配置选择应该根据当地安全政策建立。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.