Лучше быть бедным и честным, чем богатым и злым. © Мудрый царь Соломон 964 - | 797 - или читать все...
Обратная связь Пожаловаться на материал

Ключевые понятия - краткий словарь.


⇐ ПредыдущаяСтр 113 из 218Следующая ⇒

Перед чтением этой главы необходимо определить несколько ключевых понятий. Это нужно для того, чтобы предотвратить недоразумения, которые могут возникнуть из-за разницы в трактовке некоторых терминов. В русской версии документа приводятся близкий по смыслу перевод и в скобках указывается оригинальный английский термин.

событие (event): Событие, которое может быть занесено в журнал. Администратор может выбирать, какие именно события будут журналироваться подсистемой аудита. Список важных для безопасности системы событий включает: создание файла, инициализацию сетевого соединения, вход пользователя в систему. События разделяются на ''приписываемые'' (attributable) - те, которые могут быть отнесены к конкретному пользователю - и ''не-приписываемые'' (non-attributable). Пример не-приписываемого события - любое событие, произошедшее до авторизации пользователя, такое, как неудачный вход пользователя в систему.

Класс (class): События могут быть отнесены к одному или более классам, обычно основываясь на категории события: ''создание файла'' (fc), ''доступ к файлу'' (fo), ''выполнение файла'' (ex), события входа в систему и выхода из нее (lo). Использование классов позволяет администратору создавать высокоуровневые правила аудита без указания конкретных операций, отчет о которых должен добавляться в журнал.

Запись (record): ''Запись'' - это единичная запись в журнале, описывающая то или иное событие. Запись обычно содержит информацию о типе события, информацию о субъекте события (пользователе), время события, информацию об объектах события (например, файлах) и информацию об успешности выполнения операции, породившей событие.

Журнал (trail): ''журнал'' аудита, или лог-файл - содержит серию ''записей'' о системных событиях. Как правило, журнал содержит записи в строгом хронологическом порядке по времени завершения события. Только авторизованные процессы (например, auditd) имеют доступ к журналу.

выражение выделения (selection expression): Строка, содержащая список префиксов и имен классов, используемая для выделения группы событий.

предварительное выделение (preselection): Процесс, во время которого система определяет, какие события имеют приоритетную важность для администратора. Это необходимо для того, чтобы избежать протоколирования событий, не имеющих никакой значимости. Предварительное выделение использует ряд выражений выделения для того, чтобы определить, какие именно классы событий для какого пользователя необходимо вносить в журнал, так же, как и для авторизованных и неавторизованных процессов.

Фильтрация (reduction): Процесс, в результате которого записи из существующего журнала выделяются для хранения, распечатки или анализа. Процесс во многом аналогичен предварительному выделению. Используя фильтрацию администраторы могут реализовывать различные политики хранения журналов аудита. Например, детализированный журнал может храниться месяц, но после этого он должен быть сокращен чтобы хранить только информацию о входе в систему и выходе из нее более длительный срок.

Установка системы аудита

Пользовательская часть подсистемы аудита устанавливается как часть базовой системы FreeBSD начиная с версии 6.2-RELEASE. Тем не менее, поддержка аудита должна быть добавлена в ядро. Этого можно добиться, добавив следующую строку в конфигурационный файл вашего специального ядра:

options AUDIT

Процесс сборки и установки ядра подробно описан в главе Гл. 8.

После этого, необходимо разрешить запуск демона аудита, добавив следующую строку в rc.conf(5):

auditd_enable="YES"

Для запуска демона со специфическими параметрами нужно указать эти параметры в опции auditd_flags файла rc.conf(5).

Настройка системы аудита

Все конфигурационные файлы системы аудита находятся в каталоге /etc/security. Перед запуском демона аудита там должны находиться следующие файлы:

• audit_class - Содержит определения классов аудита.

• audit_control - Параметры системы аудита: классы по умолчанию, минимальное дисковое пространство, которое должно оставаться на разделе журнала аудита, и другие.

• audit_event - Определяет основные события аудита. Это, в основном, системные вызовы.

• audit_user - События аудита для для отдельных пользователей. Пользователи, не упоминаемые в этом файле, будут рассматриваться как субъекты конфигурации по-умолчанию в файле audit_control.

• audit_warn - Скрипт командного интерпретатора Bourne Shell, который используется, чтобы сгенерировать предупреждающие сообщения об исключительных ситуациях, например, когда заканчивается свободное дисковое пространство для записей журналов аудита.

Дата добавления: 2018-10-26; просмотров: 196; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая108109110111112113114115116117Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.015)