Минимальный аудит критически важных действий выполняется посредством системного журнала. Включение и настройка производится в узле system.syslog
. Начиная с версии 2.1.4, в журнале регистрируются:
Для более полного контроля за работой пользователей в системе предусмотрена служба системного аудита, построенная на основе стандартных компонент ОС Linux: демона auditd и утилит для его запуска, конфигурации, просмотра результатов и генерации отчётов.
Настройка собственно демона auditd производится в узле audit.conf
в терминах стандартного файла конфигурации auditd.conf. Настройка правил аудита производится в узле audit.rules
в терминах файла audit.rules. В узле audit.show
можно просмотреть текущую конфигурацию службы аудита (включая настройки по умолчанию), журнал аудита в сыром виде, а также сгенерировать отчёт средствами утилиты aureport.
Подробную информацию о службе системного аудита в ОС Linux см. в man pages по вышеперечисленным утилитам и файлам.
ВНИМАНИЕ! По умолчанию, файл аудита пишется во временную директорию /var на RAM-диске в оперативной памяти устройства. При перезагрузке устройства содержимое этой директории теряется. Чтобы сохранить его (в частности, чтобы злоумышленник не мог скрыть следы своих действий, инициировав перезагрузку устройства), следует перенаправить журнал в другой файл, расположенный на внешнем носителе (USB Flash, SD card) или на HDD (в директорию /etc либо в отдельный раздел), в зависимости от их наличия на данном устройстве. К выбору места для хранения журналов относятся те же соображения, что и для службы syslog.
© Network Systems Group 2015–2024 | Отдел документации |