19.1.概述

FreeBSD 操作系统包含对安全事件审计的支持。事件审计支持对各种与安全相关的系统事件(包括登录、配置变化、文件和网络访问)进行可靠的、精细的、可配置的日志记录。这些日志记录对于实时系统监控、入侵检测和事后分析都是非常宝贵的。FreeBSD 实现了 Sun™ 发布的基本安全模块(BSM)应用程序接口(API)和文件格式,并与 Solaris™ 和 Mac OS® X 的审计实现兼容。

本章重点介绍了事件审计的安装和配置。介绍了审计策略并提供一个审计配置的例子。

读完本章后,你会知道:

  • 什么是事件审计,它是如何工作的。

  • 如何在 FreeBSD 上为用户和进程配置事件审计。

  • 如何使用审计还原和复核工具来复核审计跟踪。

在阅读本章之前,你应该:

  • 了解 UNIX® 和 FreeBSD 的基础知识(FreeBSD 基础)。

  • 熟悉内核配置/编译的基础知识(配置 FreeBSD 内核)。

  • 对安全及其与 FreeBSD 的关系有一定的了解(安全)。

警告

审计机制有一些已知限制。并非所有与安全有关的系统事件都可以被审计,一些登录机制,如基于 Xorg 的显示管理器和第三方守护程序,并没有正确的配置用户登录会话的审计。

安全事件审计工具能够生成非常详细的系统活动日志。在一个繁忙的系统中,当配置为高度详细时,跟踪文件数据可能非常大,在某些配置中每周会超过几 GB。管理员应该考虑到与高频审计配置有关的磁盘空间要求。例如,可能需要为 /var/audit 专设一个文件系统,这样,即使审计文件系统装满,也不会影响到其他文件系统。