Linuxボックスのセキュリティ保護について学習しようとしています(Ubuntuを使用しています)。ノードでのアクティビティを監視するには、Auditedをお勧めします。なんとかインストールできましたが、ノードを保護するための適切なセットアップに関する情報があまり見つかりません。
ノードをより安全にするためにauditdをどのように設定する必要がありますか?何を監視する必要がありますか?どうして?セットアップの例と経験豊富な管理者からの推奨事項を探しています。
ありがとう!
明確にするために、auditdは非常に貴重なツールですが、システムをより安全にすることはできません。それが行うことは、特定のアクティビティに関するより詳細なログを提供することです。誰かが生成されたログを確認する必要があります。ツリーと同じように、アクティビティが監視されているが誰も監視していない場合、ログは重要ですか?
簡単に言うと、/etc/audit/audit.rules
には次のものを使用しました。 setrlimitまたはstimeシステムがexitを呼び出すたび、およびディレクトリが削除されるたびに、ログがスローされます。
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
-e 1
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024
# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*
より詳細な例については、 RHEL 5.1-5.2 のCISベンチマークを確認してください。残念ながら、Ubuntu用のものはなく、Debian用のものは数年前のものです。ただし、そのセクションには、ディストリビューション固有のものはありません。