test

系统管理指南:安全性服务

Procedure如何配置审计策略

审计策略确定本地主机审计记录的特征。启用审计后,/etc/security/audit_startup 文件的内容将确定审计策略。

可以使用 auditconfig 命令来检查、启用或禁用当前审计策略选项。另外,还可以通过修改 audit_startup 脚本中 auditconfig 命令的策略选项来做出永久的审计策略更改。

  1. 承担拥有审计控制配置文件的角色或成为超级用户。

    要创建拥有审计控制配置文件的角色并将该角色指定给用户,请参见配置 RBAC(任务列表)

  2. 查看审计策略。

    在启用审计之前,audit_startup 文件的内容将确定审计策略:


    #!/bin/sh

/usr/bin/echo "Starting BSM services."

/usr/sbin/deallocate -Is

/usr/sbin/auditconfig -conf    配置事件类映射

/usr/sbin/auditconfig -aconf   配置无属性事件

/usr/sbin/auditconfig -setpolicy +cnt   对记录进行计数,而非删除

  3. 查看可用的策略选项。


    $ auditconfig -lspolicy
    注 –

    只能在全局区域中设置 perzoneahlt 策略选项。

  4. 启用或禁用选定的审计策略选项。


    # auditconfig -setpolicy prefixpolicy
    prefix

    prefix+ 会启用策略选项。prefix- 会禁用策略选项。

    policy

    选择要启用或禁用的策略。

    直到下次引导,或者由 auditconfig -setpolicy 命令修改此策略后,此策略才生效。

    有关每个策略选项的说明,请参见确定审计策略

示例 29–14 设置 cntahlt 审计策略选项

在本示例中,禁用了 cnt 策略,同时启用了 ahlt 策略。在此设置下,当审计分区已满时,会停止系统的使用。这些设置适合在安全性比可用性更重要时使用。有关设置此策略的限制的信息,请参见步骤 3

以下 audit_startup 项会在重新引导后禁用 cnt 策略,同时启用 ahlt 策略:


# cat /etc/security/audit_startup

#!/bin/sh

/usr/bin/echo "Starting BSM services."

/usr/sbin/deallocate -Is

/usr/sbin/auditconfig -conf

/usr/sbin/auditconfig -aconf

/usr/sbin/auditconfig -setpolicy -cnt	

/usr/sbin/auditconfig -setpolicy +ahlt
示例 29–15 临时设置 seq 审计策略

在本示例中,auditd 守护进程正在运行,并已设置 ahlt 审计策略。seq 审计策略添加到当前策略。seq 策略会在每条审计记录中添加 sequence 标记。在正在删除记录或审计记录已损坏时,此操作可以用来调试审计服务。

+ 前缀将 seq 选项添加到审计策略,而不是使用 seq 替换当前审计策略。auditconfig 命令直到下次调用此命令或下次引导时才使此策略生效。


$ auditconfig -setpolicy +seq

$ auditconfig -getpolicy

audit policies = ahlt,seq
示例 29–16 设置 perzone 审计策略

在本示例中,在全局区域的 audit_startup 脚本中设置 perzone 审计策略。引导区域时,非全局区域将根据其区域中的审计配置设置收集审计记录。


$ cat /etc/security/audit_startup

#!/bin/sh

/usr/bin/echo "Starting BSM services."

/usr/sbin/deallocate -Is

/usr/sbin/auditconfig -conf

/usr/sbin/auditconfig -aconf

/usr/sbin/auditconfig -setpolicy +perzone

/usr/sbin/auditconfig -setpolicy +cnt
示例 29–17 更改审计策略

在本示例中,审计守护进程正在运行,并已设置审计策略。auditconfig 命令会针对会话持续时间更改 ahltcnt 策略。在此设置下,当审计文件系统已满时,会删除审计记录,但也会对审计记录进行计数。有关设置 ahlt 策略的限制,请参见步骤 3


$ auditconfig -setpolicy +cnt

$ auditconfig -setpolicy -ahlt

$ auditconfig -getpolicy

audit policies = cnt,seq

将更改置于 audit_startup 文件中后,更改后的策略将永久有效:


$ cat /etc/security/audit_startup

#!/bin/sh

/usr/bin/echo "Starting BSM services."

/usr/sbin/deallocate -Is

/usr/sbin/auditconfig -conf

/usr/sbin/auditconfig -aconf

/usr/sbin/auditconfig -setpolicy +cnt

不必在此文件中指定 -ahlt 选项,因为缺省情况下禁用 ahlt 策略选项。当可用性比审计记录提供的安全性更重要时,适合使用此设置。