FreeBSD 6.2-RELEASE 及之後版本中內含對於精細的資安事件稽核支援。 事件稽核能夠支援可靠的、精細且可設定的,對於各類與安全有關的系統事件, 包括登入、設定變更,以及檔案和網路存取等的 log 記錄。 這些 log 記錄對於運作中的系統上實施監控、入侵檢測和事後分析都十分重要。 FreeBSD 實作了 Sun 所發布的 BSM API 和檔案格式,並且與 Sun 的 Solaris 和 Apple 的 Mac OS X 稽核實作相容。
本章重點是事件稽核的安裝、設定。 我們將介紹事件策略,並提供一個稽核的設定例子。
讀完這章,您將了解:
事件稽核是什麼,以及它如何運作。
如何在 FreeBSD 上為使用者和程序作事件稽核的設定。
如何使用稽核記錄摘要和檢查工具來對稽核記錄進行檢查。
在開始閱讀這章之前,您需要︰
瞭解 UNIX® 和 FreeBSD 的基礎知識 (Chapter 3)。
熟悉關於 kernel 設定和編譯的基本方法 (Chapter 8)。
熟悉安全知識以及如何在 FreeBSD 運用它們(Chapter 14)。
Warning: 在 FreeBSD 6.2 上的稽核機制是實驗性質, 在正式環境中部署之前,應仔細評估部署實驗性軟體可能帶來的風險。 目前已知的限制有: 並非所有安全相關的系統事件都是可稽核的,在某些登入機制,例如:X11-based 的 display manager 以及 third party daemon 的登入機制, 都無法正確設定稽核。
Warning: 安全稽核機制會對系統活動產生非常細膩的記錄: 在負荷繁忙的系統中, 若對記帳(trail)資料設定不當,將會非常的龐大並在一周內迅速超過數 GB 的大小。 稽核設定所導致的磁碟空間需求的這些問題,乃是管理者必須考慮的地方。 例如: 可能需要替 /var/audit 目錄而單獨分配檔案系統, 以防止在稽核 log 所用的檔案系統被填滿時,而影響其它檔案系統的運作。
本文及其他文件,可由此下載:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/。
若有 FreeBSD 方面疑問,請先閱讀 FreeBSD 相關文件,如不能解決的話,再洽詢
<questions@FreeBSD.org>。
關於本文件的問題,請洽詢 <doc@FreeBSD.org>。