在确定在您的站点中必须审计哪些事件后,请按照以下建议来创建仅包含您所需信息的审计文件。请注意,要将标志指定给用户、角色和权限配置文件,您必须承担 root 角色。
具体而言,应避免向审计迹中添加事件和审计标记。以下策略会增加审计迹的大小。
向 execv 审计事件添加环境变量。虽然审计 execv 事件的开销可能很大,但向审计记录添加变量的开销很小。
向 execv 审计事件添加命令参数。向审计记录添加命令参数的开销不大。
将组标记添加到包含可选 newgroups 标记的审计事件。
将 path 标记添加到包含可选 path 标记的审计事件。
如果正在审计文件事件,每次public object(公共对象)发生可审计事件时,都会将一个事件添加到审计迹中。文件类包括 fa、fc、fd、fm、fr、fw 和 cl。有关公共文件的定义,请参见审计术语和概念。
将序列标记添加到每个审计事件。
将尾部标记添加到每个审计事件。
在配置了 Trusted Extensions 的系统上,在有标签窗口中的信息降级时添加事件。
在配置了 Trusted Extensions 的系统上,在有标签窗口中的信息升级时添加事件。
将区域名称添加到每个审计事件。如果全局区域是配置的唯一区域,将字符串 zone, global 添加到每个审计事件。
以下审计记录显示了 ls 命令的用法。正在审计 ex 类,且正在使用缺省策略:
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1 return,success,0
以下是启用所有策略时的相同记录:
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl, ... path,/lib/ld.so.1 attribute,100755,root,bin,21,393073,18446744073709551615 subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1 group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon return,success,0 zone,global sequence,197 trailer,1578
使用 audit_syslog 插件将部分审计事件发送到 syslog。
但不将这些审计事件发送到 audit_binfile 或 audit_remote 插件。只有当不要求保留发送到 syslog 日志的审计事件的二进制记录时,才适合使用此方法。
通过减少系统范围内审计的审计类的数目,来减少对所有用户的审计量。
使用 roleadd、rolemod、useradd 和 usermod 命令的 audit_flags 关键字审计特定用户和角色的事件。有关示例,请参见Example 4–11 和 usermod(1M) 手册页。
使用 profiles 命令的 always_audit 和 never_audit 属性审计特定权限配置文件的事件。有关信息,请参见 profiles(1) 手册页。
创建定制审计类。
可以在您的站点上创建审计类。仅将需要监视的审计事件分配给这些类。有关过程,请参见如何添加审计类。