红帽全球峰会17.2. 操作系统(RHCS 的外部)日志设置
17.2.1. 启用 OS 级别审计日志
以下部分中的所有操作都必须以 root 用户身份或通过 sudo 执行。
auditd 日志记录框架提供了许多其他审计功能。这些操作系统级别的审计日志直接由证书系统提供补充功能。在执行本节中的任何步骤前,请确保已安装了 audit 软件包:
sudo yum install audit
# sudo yum install audit
系统软件包更新的审计(使用 yum 和 rpm,包括证书系统)是自动执行的,不需要额外的配置。
添加每个审计规则并重启 auditd 服务后,运行以下命令验证是否已添加新规则:
auditctl -l
# auditctl -l新规则的内容应在输出中可见。
有关查看生成的审计日志的说明,请参阅 Red Hat Certificate System Administration Guide 中的 Displaying System-level Audit Logs 部分。
17.2.1.1. 审计证书系统审计日志删除
要在删除审计日志时接收审计事件,您需要审核目标为证书系统日志的系统调用。
使用以下内容创建文件 /etc/audit/rules.d/rhcs-audit-log-deletion.rules :
-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
然后重启 auditd :
service auditd restart
# service auditd restart17.2.1.2. 审计未授权证书系统使用 secret 密钥
要接收对证书系统 Secret 或私钥的所有访问权限的审计事件,您需要审核文件系统对 NSS DB 的访问。
使用以下内容创建 /etc/audit/rules.d/rhcs-audit-nssdb-access.rules 文件:
-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb
-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb
<instance name> 是当前实例的名称。对于 /etc/pki/< >),添加到 ;instance 名称>/alias 中的每个文件(<file/etc/audit/rules.d/rhcs-audit-nssdb-access.rules 中,添加以下行:
-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb
-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb
例如,如果实例名称是 pki-ca121318ec 和 cert9.db, key4.db ,key4.db,NHSM6000-OCScert9.db,NHSM6000-OCSkey4.db, 和 pkcs11.txt 是文件,则配置文件将包含:
-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/cert9.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/key4.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCScert9.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCSkey4.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/pkcs11.txt -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/cert9.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/key4.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCScert9.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCSkey4.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/pkcs11.txt -p warx -k rhcs_audit_nssdb
然后重启 auditd :
service auditd restart
# service auditd restart17.2.1.3. 审计时间更改事件
要接收审计事件是否有时间变化,您需要审核可修改系统时间的系统调用访问。
使用以下内容创建 /etc/audit/rules.d/rhcs-audit-rhcs'audit_time_change.rules 文件:
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change -a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change -a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change -w /etc/localtime -p wa -k rhcs_audit_time_change
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change
-w /etc/localtime -p wa -k rhcs_audit_time_change
然后重启 auditd :
service auditd restart
# service auditd restart有关如何设置时间的说明,请参阅 Red Hat Certificate System Administration Guide 中的 Red Hat Enterprise Linux 7 中的设置时间和日期。
17.2.1.4. 审计对证书系统配置的访问
要接收对证书系统实例配置文件的所有修改的审计事件,请审核这些文件的文件系统访问。
使用以下内容创建 /etc/audit/rules.d/rhcs-audit-config-access.rules 文件:
-w /etc/pki/ instance_name/server.xml -p wax -k rhcs_audit_config
-w /etc/pki/ instance_name/server.xml -p wax -k rhcs_audit_config
另外,在 /etc/pki/ instance_name/ 目录中为每个子系统添加以下内容:
-w /etc/pki/ instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config
-w /etc/pki/ instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config例 17.1. RHCS-audit-config-access.rules 配置文件
例如,如果实例名称是 pki-ca121318ec,且只安装了 CA,/etc/audit/rules.d/rhcs-audit-config-access.rules 文件将包含:
-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config -w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config
-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config
-w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config
请注意,在 rhcs_audit_nssdb 下已对 PKI NSS 数据库的访问已被审核。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}