| 在SLES10系统上如何配置审计 原因分析:SLES系统内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问,这种功能称为审计系统 解决步骤如下: 1. /etc/auditd.conf 一般不需要修改 2. 如果需要审计 syscall 需要修改 /etc/sysconfig/auditd 把AUDITD_DISABLE_CONTEXTS = "yes"修改为AUDITD_DISABLE_CONTEXTS = "no" 内容来自http://novell.me 3. 如果需要监控某个文件需要把文件的规则添加到 /etc/audit.rules 文件中 -w /path/to/file上面的规则将监控文件 /path/to/file 4. 如果需要监控某个系统功能调用需要把监控系统功能调用的规则添加到 /etc/audit.rules 文件中 -a entry,always -S stat 5. 如果需要监控某个进程的所有系统功能调用需要添加规则到 /etc/audit.rules 文件中 -a exit,always -S all -F pid=<pid of process> 6. 需要监控的规则都添加完成后重启 auditd # insserv auditd # rcauditd restart |
本文地址 http://novell.me/SUSE/2010/0522/SLES-audit.html
(责任编辑:Novell迷)
