SuporteConsoleDesenvolvedoresComeçar um testeContato

10.3. Configurando a auditoria para um ambiente seguro

A configuração padrão auditd deve ser adequada para a maioria dos ambientes. Entretanto, se seu ambiente tiver que atender a rígidas políticas de segurança, as seguintes configurações são sugeridas para a configuração do daemon de Auditoria no arquivo /etc/audit/auditd.conf:

log_file
O diretório que contém os arquivos de log de auditoria (geralmente /var/log/audit/) deve residir em um ponto de montagem separado. Isto evita que outros processos consumam espaço neste diretório e fornece uma detecção precisa do espaço restante para o daemon de Auditoria.
max_log_file
Especifica o tamanho máximo de um único arquivo de log de Auditoria, deve ser definido para fazer pleno uso do espaço disponível na partição que contém os arquivos de log de Auditoria.
max_log_file_action
Decide qual ação é tomada uma vez atingido o limite estabelecido em max_log_file, deve ser definido para keep_logs para evitar que os arquivos de log de Auditoria sejam sobrescritos.
space_left
Especifica a quantidade de espaço livre restante no disco para o qual uma ação que está definida no parâmetro space_left_action é acionada. Deve ser definido para um número que dê ao administrador tempo suficiente para responder e liberar espaço livre no disco. O valor space_left depende da taxa na qual os arquivos de log de auditoria são gerados.
space_left_action
Recomenda-se definir o parâmetro space_left_action para email ou exec com um método de notificação apropriado.
admin_esquerda_esquerda_espacial
Especifica a quantidade mínima absoluta de espaço livre para o qual uma ação definida no parâmetro admin_space_left_action deve ser definida para um valor que deixe espaço suficiente para registrar as ações executadas pelo administrador.
admin_space_left_action
Deve ser ajustado para single para colocar o sistema no modo de usuário único e permitir que o administrador liberte algum espaço em disco.
disk_full_action
Especifica uma ação que é acionada quando não há espaço livre disponível na partição que contém os arquivos de log de auditoria, deve ser definida para halt ou single. Isto assegura que o sistema esteja desligado ou operando em modo de usuário único quando a Auditoria não puder mais registrar eventos.
disk_error_action
Especifica uma ação que é acionada caso seja detectado um erro na partição que contém os arquivos de log de auditoria, deve ser definida para syslog, single, ou halt, dependendo de suas políticas locais de segurança em relação ao tratamento de falhas de hardware.
descarga
Deve ser ajustado para incremental_async. Funciona em combinação com o parâmetro freq, que determina quantos registros podem ser enviados ao disco antes de forçar uma sincronização rígida com o disco rígido. O parâmetro freq deve ser definido para 100. Estes parâmetros asseguram que os dados de eventos de Auditoria sejam sincronizados com os arquivos de registro no disco, mantendo um bom desempenho para explosões de atividade.

As demais opções de configuração devem ser definidas de acordo com sua política de segurança local.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.