FreeBSD - настройка системы аудита

Начиная с версии 6.2 ОС FreeBSD включает в себя встроенную систему аудита событий.
Мне требуется логировать следующие события для пользователя root:

  • успешный/неуспешный вход/выход
  • успешный/неуспешный запуск приложений

Настройка производилась в ОС FreeBSD 9.0-RELEASE

Настройка

Отредактируем файл /etc/security/audit_control

dir:/var/audit
flags:lo,ex,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

Linux (Centos/RHEL) - настройка системы аудита

Ядро 2.6 уже включает в себя систему аудита. Аудит производится на уровне системных вызовов. Ниже пример простой настройки системы аудита.

Установка

yum install audit

Настройка

/etc/audit/audit.rules

## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 320

## System files
-w /etc/audit/auditd.conf -p wa
-w /etc/audit/audit.rules -p wa
-w /etc/passwd -p wa
-w /etc/group -p wa 
-w /etc/shadow -p wa
-w /etc/ssh/sshd_config -p wa

## Services
-w /etc/init.d/
-w /etc/init.d/auditd -p wa 

## Iptables
-w /etc/init.d/iptables -p wax

 
blog.txt · Последние изменения: 2013/01/23 14:51 — Антон Бугреев · []