返回首页
当前位置: Novell迷 > SUSE >

在SLES10系统上如何配置审计

时间:2010-05-22 17:58来源:未知 作者:Novell迷 点击:

在SLES10系统上如何配置审计

原因分析:SLES系统内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问,这种功能称为审计系统
   
解决步骤如下:

1. /etc/auditd.conf 一般不需要修改

2. 如果需要审计 syscall 需要修改 /etc/sysconfig/auditd
   把AUDITD_DISABLE_CONTEXTS = "yes"修改为AUDITD_DISABLE_CONTEXTS = "no" Novell迷网站原创内容,未经允许,谢绝转载!

3. 如果需要监控某个文件需要把文件的规则添加到 /etc/audit.rules 文件中
-w /path/to/file上面的规则将监控文件 /path/to/file

4. 如果需要监控某个系统功能调用需要把监控系统功能调用的规则添加到 /etc/audit.rules 文件中
   -a entry,always -S stat

5. 如果需要监控某个进程的所有系统功能调用需要添加规则到 /etc/audit.rules 文件中
   -a exit,always -S all -F pid=<pid of process>

6. 需要监控的规则都添加完成后重启 auditd
   # insserv auditd
   # rcauditd restart
本文来自Novell迷网站 http://novell.me

转载请注明出处!
本文地址 http://novell.me/SUSE/2010/0522/SLES-audit.html
(责任编辑:Novell迷)
对我有帮助
(0)
0%
没什么帮助
(0)
0%
------分隔线----------------------------
发表评论
验证码:点击我更换图片
赞助商链接