11.3. 보안 환경을 위해 auditd 구성
기본 auditd
구성은 대부분의 환경에 적합해야 합니다. 그러나 환경이 엄격한 보안 정책을 충족해야 하는 경우 /etc/audit/auditd.conf
파일에서 감사 데몬 구성에 대해 다음 설정을 변경할 수 있습니다.
log_file
-
감사 로그 파일(일반적으로
/var/log/audit/
)이 있는 디렉터리는 별도의 마운트 지점에 있어야 합니다. 이렇게 하면 다른 프로세스가 이 디렉터리에서 공간을 소비하지 않으며 감사 데몬의 나머지 공간을 정확하게 감지할 수 있습니다. max_log_file
-
감사 로그 파일이 있는 파티션에서 사용 가능한 공간을 완전히 사용하려면 단일 감사 로그 파일의 최대 크기를 지정해야 합니다.
max_log_file'
매개 변수는 최대 파일 크기를 메가바이트 단위로 지정합니다. 지정된 값은 숫자여야 합니다. max_log_file_action
-
max_log_file
에 설정된 제한에 도달하면 감사 로그 파일을 덮어쓰지 않도록keep_logs
로 설정해야 하는 작업을 결정합니다. space_left
-
space_left_action
매개 변수에 설정된 작업이 트리거되는 디스크에 남은 여유 공간의 양을 지정합니다. 관리자에게 충분한 시간을 제공하고 디스크 공간을 확보할 수 있는 번호로 설정해야 합니다.space_left
값은 감사 로그 파일이 생성되는 비율에 따라 달라집니다. space_left 값이 정수로 지정되면 절대 크기(MiB)로 해석됩니다. 값이 1에서 99 사이의 숫자로 지정되고 백분율 기호(예: 5%)가 있으면 감사 데몬은log_file
을 포함하는 파일 시스템의 크기에 따라 절대 크기를 메가바이트 단위로 계산합니다. space_left_action
-
space_left_action
매개 변수를이메일
또는 적절한 알림 방법을 사용하여exec
로 설정하는 것이 좋습니다. admin_space_left
-
admin_space_left_action
매개변수에 설정된 작업이 트리거되는 절대 최소 공간 크기를 관리자가 수행하는 작업을 로깅할 충분한 공간을 남겨 두는 값으로 설정해야 합니다. 이 매개변수의 숫자 값은 space_left의 숫자보다 작아야 합니다. 또한 감사 데몬이 디스크 파티션 크기에 따라 숫자를 계산하도록 숫자에 백분율 기호(예: 1%)를 추가할 수도 있습니다. admin_space_left_action
-
단일 사용자 모드로 시스템을 배치하려면
single
-user로 설정하고 관리자가 일부 디스크 공간을 확보할 수 있도록 해야 합니다. disk_full_action
-
감사 로그 파일을 보유한 파티션에서 사용 가능한 공간이 없는 경우 트리거되는 작업을
중지
또는단일
로 설정해야 합니다. 이렇게 하면 감사가 더 이상 이벤트를 로깅할 수 없는 경우 시스템이 단일 사용자 모드로 종료되거나 작동합니다. disk_error_action
-
감사 로그 파일을 보유하는 파티션에서 오류가 감지되는 경우, 하드웨어 오작동의 처리와 관련된 로컬 보안 정책에 따라
syslog
,단일
또는중단
으로 설정해야 하는 경우 트리거되는 작업을 지정합니다. flush
-
incremental_async
로 설정해야 합니다. 하드 드라이브와 하드 동기화를 강제하기 전에 디스크에 보낼 수 있는 레코드 수를 결정하는freq
매개변수와 함께 작동합니다.freq
매개변수는100
으로 설정해야 합니다. 이러한 매개 변수를 사용하면 활동 버스트에 적합한 성능을 유지하면서 감사 이벤트 데이터가 디스크의 로그 파일과 동기화됩니다.
나머지 구성 옵션은 로컬 보안 정책에 따라 설정해야 합니다.