如果要实现非全局区域,请在使用此过程之前完成如何在区域中规划审计。
确定是否需要单映像审计跟踪。
如果计划以不同的方式审计各个系统,请从下一步开始。应该针对每个系统完成其余的规划步骤。
单映像审计跟踪将正在审计的系统视为一台计算机。要为某个站点创建单映像审计跟踪,安装中的每个系统都应进行如下配置:
与其他所有系统使用相同的 audit_warn、audit_event 、audit_class 和 audit_startup 文件。
使用相同的 audit_user 数据库。此数据库可以位于名称服务中。
在 audit_control 文件中具有相同的 flags、naflags 和 plugin 项。
确定审计策略。
使用 auditconfig -lspolicy 命令查看可用策略选项的简短说明。缺省情况下,仅打开 cnt 策略。有关更全面的介绍,请参见步骤 8。
确定是否要修改事件到类的映射。
在多数情况下,缺省映射便已够用。但是,如果添加新类、更改类定义,或者确定某特定系统调用的记录无用,则可能需要将某个事件移动到其他类。
有关示例,请参见如何更改审计事件的类成员关系。
确定要预选的审计类。
添加审计类或更改缺省类的最佳时机是在启动审计服务之前。
audit_control 文件中 flags、naflags 和 plugin 项的审计类值适用于所有用户和进程。预选类可以确定是只针对成功情况对审计类进行审计,还是只针对失败情况对其进行审计,或者同时针对两种情况对其进行审计。
有关如何预选审计类的信息,请参见如何修改 audit_control 文件。
确定系统范围预选审计类的用户例外情况。
如果决定使用系统范围预选审计类以外的方式来审计某些用户,请修改 audit_user 数据库中单个用户项。
有关示例,请参见如何更改用户审计特征。
确定最小可用磁盘空间。
当审计文件系统上的磁盘空间低于 minfree 百分比时,auditd 守护进程将切换到下一个可用审计目录。然后,此守护进程将发送一条警告,指出已超过软限制。
有关如何设置最小可用磁盘空间的信息,请参见示例 29–4。
决定如何管理 audit_warn 电子邮件别名。
只要审计系统需要通知您出现了需要管理干预的情况,就会运行 audit_warn 脚本。缺省情况下,audit_warn 脚本会向 audit_warn 别名发送电子邮件,并向控制台发送消息。
要设置别名,请参见如何配置 audit_warn 电子邮件别名。
决定当所有审计目录已满时需要执行的操作。
缺省情况下,当审计跟踪溢出时,系统还会继续工作。系统会对已删除的审计记录进行计数,但是不会记录事件。要获得更大的安全性,可以禁用 cnt 策略,同时启用 ahlt 策略。当审计跟踪溢出时,ahlt 策略将停止系统。
有关如何配置这些策略选项的信息,请参见示例 29–14。
决定是否收集 syslog 格式以及二进制日志格式的审计记录。
有关概述信息,请参见审计文件。
有关示例,请参见如何配置 syslog 审计日志。