Red Hat Training

A Red Hat training course is available for RHEL 8

12.3. 为安全的环境配置 auditd

默认 auditd 配置应当适合大多数环境。但是,如果您的环境必须满足严格的安全策略,建议在 /etc/audit/auditd.conf 文件中对 Audit 守护进程配置进行以下设置:

log_file
包含 Audit 日志文件的目录(通常为 /var/log/audit/)应位于单独的挂载点。这可以防止其他进程消耗此目录中的空间,并为 Audit 守护进程提供准确检测剩余空间。
max_log_file
指定单个审计日志文件的最大大小,必须设置该文件才能充分利用保存审计日志文件的分区上的可用空间。
max_log_file_action
决定在 max_log_file 中设置限制后执行的操作,应设置为 keep_logs,以防止覆盖 Audit 日志文件。
space_left
指定磁盘上触发 space_left_action 参数中设置操作的可用空间量。必须设置一个数字,让管理员有足够的时间来响应和释放磁盘空间。space_left 的值取决于审计日志文件的生成速度。
space_left_action
建议使用适当的通知方法将 space_left_action 参数设置为 emailexec
admin_space_left
指定在 admin_space_left_action 参数中设置的操作的绝对最小可用空间量,必须设置为保留足够空间以记录管理员执行的操作的值。
admin_space_left_action
应将 设置为 single 以将系统置于单用户模式并允许管理员释放一些磁盘空间。
disk_full_action
指定在保存 Audit 日志文件的分区上没有可用空间时触发的操作,必须设置为 haltsingle。当 Audit 无法记录事件时,这可确保系统以单用户模式关闭或运行。
disk_error_action
指定在包含 Audit 日志文件的分区上检测到错误时触发的操作,必须设置为 syslog单一 或停止 具体取决于您处理硬件故障的本地安全策略。
flush
应设置为 incremental_async。它与 freq 参数相结合,该参数决定了在强制与硬盘进行硬盘同步前可以将多少条记录发送到磁盘。freq 参数应设置为100。这些参数可确保审计事件数据与磁盘上的日志文件同步,同时保持良好的活动性能。

其余配置选项应根据您的本地安全策略设置。