审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以后便可以使用此数据来指定主机上执行的操作的职责。
成功的审计应包括两个安全功能:识别和验证。每次登录时,用户提供用户名并成功通过 PAM(Pluggable Authentication Module,可插拔验证模块)验证后,将生成唯一且保持不变的审计用户 ID 并与该用户相关联,还会生成唯一的审计会话 ID 并与该用户的进程相关联。在该登录会话期间启动的每个进程都会继承此审计会话 ID。从一个用户切换为另一个用户时,系统使用同一审计用户 ID 跟踪所有用户操作。有关切换身份的更多详细信息,请参见 su(1M) 手册页。请注意,缺省情况下,某些操作(例如引导和关闭系统)始终都需要进行审计。
通过审计服务可以实现以下操作:
监视主机上发生的与安全相关的事件
在网络范围的审计迹中记录事件
检测误用或未经授权的活动
查看访问模式以及个人和对象的访问历史记录
发现绕过保护机制的尝试
发现用户更改身份时对特权的扩展使用