FreeBSD 中包含了对于细粒度安全事件审计的支持。 事件审计能够支持可靠的、 细粒度且可配置的, 对于各类与安全有关的系统事件, 包括登录、 配置变更, 以及文件和网络访问等的日志记录。 这些日志记录对于在正在运行的系统上实施监控、 入侵检测和事后分析都十分重要。 FreeBSD 实现了 Sun 所发布的 BSM API 和文件格式, 并且与 Sun™ 的 Solaris™ 和 Apple® 的 Mac OS® X 审计实现兼容。
这一章的重点是安装和配置事件审计。 它介绍了事件策略, 并提供了一个审计的配置例子。
读完这章, 您将了解:
事件审计是什么, 以及它如何工作。
如何在 FreeBSD 上为用户和进程配置事件审计。
如何使用审计记录摘要和复审工具来对审计记录进行复审。
阅读这章之前, 您应该:
理解 UNIX® 和 FreeBSD 的基础知识 (第 4 章 UNIX 基础)。
熟悉关于内核配置和编译的基本方法 (第 9 章 配置FreeBSD的内核)。
熟悉安全知识以及如何在 FreeBSD 运用它们 (第 15 章 安全)。
审计机制中存在一些已知的限制, 例如并不是所有与安全有关的系统事件都可以审计, 另外某些登录机制, 例如基于 X11 显示管理器, 以及第三方服务的登录机制, 都不会在用户的登录会话中正确配置审计。
安全审计机制能够对系统活动生成非常详细的记录信息: 在繁忙的系统中,
记帐数据如果配置不当会非常的大, 并在一周内迅速超过几个 GB 的尺寸。
管理员应考虑审计配置中的导致磁盘空间需求的这些问题。 例如,
可能需要为 /var/audit
目录单独分配一个文件系统,
以防止在审计日志所用的文件系统被填满时影响其它文件系统。
本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读
文档,如不能解决再联系
<questions@FreeBSD.org>.
关于本文档的问题请发信联系
<doc@FreeBSD.org>.