Linux审计配置

2019独角兽企业重金招聘Python工程师标准>>>

（一） 服务开启  

在Linux/UNIX 中，审计工作主要由auditd 服务来完成。Auditd可以对整个操作系统的以下行为做审计

l 账户管理

l 文件系统管理

l 权限管理

l 网络配置管理

l 日志文件操作管理

以RedHat Enterprise Linux 5.4为例，所使用启动命令为（#service auditd start）配置开机自动启动命令为（#chkconfig  auditd on）如下图所示

图 3 Linux  下开启auditd服务所使用命令

（二） 服务配置  

Auditd服务自身启动需要加载/etc/audit/auditd.conf  配置文件。在此配置文件中定义了所审计内容的长度，大小、分块等情况，在此配置文件中各字段名称含义如下表所示

字段名称（缺省值）	字段含义	配置建议
flush = INCREMENTAL	向日志中写入数据频率，值可以是NONE、INCREMENTAL、DATA和SYNC	建议使用缺省值，对于高等级的业务系统设置为DATA
freq = 20	审计守护进程在写到日志文件中之前从，内核中接收的记录数	建议使用缺省值，根据业务系审计繁忙程度可做增大调整
num_logs = 20	max_log_file_action设置为ROTATE时，要保存的日志文件数目，必须是0~99之间的数值，设置为0表示不循环，设置为小于2时同样不循环。	可根据max_log_file 大小和业务系统审计繁忙程度做调整进而符合时间周期要求
disp_qos = lossy	控制调度程序与审计守护进程之间的通信类型。有效值为lossy和lossless	建议使用缺省值
dispatcher = /sbin/audispd	当启动这个守护进程时，由审计守护进程自动启动程序。所有守护进程都传递给这个程序。	建议使用缺省值
name_format = NONE	计算机节点名称设置	建议使用缺省值
##name = mydomain	管理员定义字符串确认机器	建议使用缺省值
max_log_file = 10	最大日志个数	根据业务系统需要建议二级系统增加相应个数，三级系统保持缺省值
max_log_file_action = ROTATE	当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之 一	根据业务系统需要建议二级系统设置为KEEP_LOGS 三级系统为缺省值
space_left = 75	以兆字节表示的磁盘空间数量。当达到这个水平时，会采取space_left_action参数中的动作。	建议增加到缺省值的一倍
space_left_action = SYSLOG	当磁盘空间量达到space_left中的值时，采取这个动作。	建议使用缺省值
action_mail_acct = root	负责维护审计守护进程和日志的管理员的电子邮件地址	建议使用缺省值
admin_space_left = 50	以兆字节表示的磁盘空间数量。用这个选项设置比space_left_action具有更多的主动性动作	建议增加到缺省值的一倍
admin_space_left_action=  SUSPEND	当自由磁盘空间量达到admin_space_left指定的值时，则采取动作	建议使用缺省值
disk_full_action = SUSPEND	如果含有这个审计文件的分区已满，则采取这个动作，与space_left _action中的相同。	建议使用缺省值
disk_error_action = SUSPEND	如果在写审计日志或循环日志文件时检测到错误时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、SINGLE和HALT之一。与这些值关的动作与space_left_action中的相同	建议使用缺省值
##tcp_listen_port =	接收远程审计日志服务取值范围为1-65535	建议不启用
tcp_listen_queue = 5	接收远程审计日志的队列长度	当tcp_listen_port启用时，建议根据业务系统需要增加队列长度
##tcp_client_ports =  1024-65535	客户端使用端口范围	建议使用缺省值设置
tcp_client_max_idle = 0	低于此值时关闭连接	建议使用缺省值
enable_krb5 = no	是否启用kerberos认证	建议使用缺省值
krb5_principal = auditd	Kerberos认证校验值	建议使用缺省值
##krb5_key_file=  /etc/audit/audit.key	Kerberos生成的验证key存放位置	建议使用缺省值

表 3  Auditd服务自身配置文件各字段描述

（三） 策略配置  

默认情况下auditd会读取所审计的内容配置文件，该配置文件在/etc/audit/目录下，配置文件名为audit.rules，在该文件中详细描述了，要对一个操作系统可以做哪些审计，应该怎么做审计等内容。如下表所示为Linux系统常用审计配置，具体详细的微调还需具体到各业务系统需要。

Linux、Unix 系统审计重点位置

-w /var/log/audit/ -k  LOG_audit

-w /etc/audit/ -p wa -k  CFG_audit

-w /etc/sysconfig/auditd  -p wa -k  CFG_auditd.conf

-w /etc/libaudit.conf -p wa -k  CFG_libaudit.conf

-w /etc/audisp/ -p wa -k  CFG_audisp

-a entry,always -F arch=b32 -S setxattr  -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S  fremovexattr

-a entry,always -F arch=b32 -S mknod -S  mknodat

-a entry,always -F arch=b32 -S mount -S  umount -S umount2

-w /etc/cups/ -p wa -k  CFG_cups

-w /etc/init.d/cups -p wa -k  CFG_initd_cups

-w /etc/netlabel.rules -p wa -k  CFG_netlabel.rules

-w /etc/racoon/racoon.conf -p wa -k  CFG_racoon.conf

-w /etc/racoon/psk.txt -p wa -k  CFG_racoon_keys

-w /etc/racoon/certs/ -p wa -k  CFG_racoon_certs

-w /etc/selinux/config -p wa -k  CFG_selinux_config

-w /etc/selinux/mls/ -p wa -k  CFG_MAC_policy

-w /usr/share/selinux/mls/ -p wa -k  CFG_MAC_policy

-w /etc/selinux/semanage.conf -p wa -k  CFG_MAC_policy

-a entry,always -F arch=b32 -S adjtimex  -S settimeofday -S clock_settime

-w /usr/sbin/stunnel -p  x

-w /etc/security/rbac-self-test.conf -p  wa -k CFG_RBAC_self_test

-w /etc/aide.conf -p wa -k  CFG_aide.conf

-w /etc/cron.allow -p wa -k  CFG_cron.allow

-w /etc/cron.deny -p wa -k  CFG_cron.deny

-w /etc/cron.d/ -p wa -k  CFG_cron.d

-w /etc/cron.daily/ -p wa -k  CFG_cron.daily

-w /etc/cron.hourly/ -p wa -k  CFG_cron.hourly

-w /etc/cron.monthly/ -p wa -k  CFG_cron.monthly

-w /etc/cron.weekly/ -p wa -k  CFG_cron.weekly

-w /etc/crontab -p wa -k  CFG_crontab

-w /var/spool/cron/root -k  CFG_crontab_root

-w /etc/group -p wa -k  CFG_group

-w /etc/passwd -p wa -k  CFG_passwd

-w /etc/gshadow -k  CFG_gshadow

-w /etc/shadow -k  CFG_shadow

-w /etc/security/opasswd -k  CFG_opasswd

-w /etc/login.defs -p wa -k  CFG_login.defs

-w /etc/securetty -p wa -k  CFG_securetty

-w /var/log/faillog -p wa -k  LOG_faillog

-w /var/log/lastlog -p wa -k  LOG_lastlog

-w /var/log/tallylog -p wa -k  LOG_tallylog

-w /etc/hosts -p wa -k  CFG_hosts

-w /etc/sysconfig/network-scripts/ -p wa  -k CFG_network

-w /etc/inittab -p wa -k  CFG_inittab

-w /etc/rc.d/init.d/ -p wa -k  CFG_initscripts

-w /etc/ld.so.conf -p wa -k  CFG_ld.so.conf

-w /etc/localtime -p wa -k  CFG_localtime

-w /etc/sysctl.conf -p wa -k  CFG_sysctl.conf

-w /etc/modprobe.conf -p wa -k  CFG_modprobe.conf

-w /etc/pam.d/ -p wa -k  CFG_pam

-w /etc/security/limits.conf -p wa  -k CFG_pam

-w /etc/security/pam_env.conf -p wa -k  CFG_pam

-w /etc/security/namespace.conf -p wa -k  CFG_pam

-w /etc/security/namespace.init -p wa -k  CFG_pam

-w /etc/aliases -p wa -k  CFG_aliases

-w /etc/postfix/ -p wa -k  CFG_postfix

-w /etc/ssh/sshd_config -k  CFG_sshd_config

-w /etc/stunnel/stunnel.conf -k  CFG_stunnel.conf

-w /etc/stunnel/stunnel.pem -k  CFG_stunnel.pem

-w /etc/vsftpd.ftpusers -k  CFG_vsftpd.ftpusers

-a exit,always -F arch=b32 -S  sethostname

-w /etc/issue -p wa -k  CFG_issue

-w /etc/issue.net -p wa -k  CFG_issue.net

表 4 Linux/Unix  操作系统重点位置审计

（四） 日志推送  

目前的推送方式在使用syslog服务来完成审计内容向安全管理平台发送的任务，那么首先要配置相应的日志界别发送到指定的安全管理平台。配置文件为/etc/syslog.conf如下图配置

图 4 配置SYSLOG服务向安全管理平台发送审计内容

配置完成后可以启动syslog服务，并且保证开机后自动运行，可以使用如下命令，操作方式如下图所示

Service  syslog start

Chkconfig  syslog on

图 5 开机启动syslog服务配置

利用tail查看审计的日志，把tail的结果重定向给logger，重新打标记之后发送给syslog中的相应的日志级别。由syslog发送到安全管理平台中

tail -f  /var/log/audit/audit.log |logger -it stationlog -p local3.notice&

为了使得开机启动  把这条命令写入到/etc/rc.local中

图 6 开机执行审计内容向SYSLOG发送命令

转载于:https://my.oschina.net/soarwilldo/blog/473993