主页
产品
Red Hat Certificate System
10
规划、安装和部署指南
17.2. 操作系统(RHCS 的外部)日志设置

17.2. 操作系统(RHCS 的外部)日志设置

17.2.1. 启用 OS 级别审计日志
复制链接

警告

以下部分中的所有操作都必须以 root 用户身份或通过 sudo 执行。

auditd 日志记录框架提供了许多其他审计功能。这些操作系统级别的审计日志直接由证书系统提供补充功能。在执行本节中的任何步骤前，请确保已安装了 audit 软件包：

sudo dnf install audit

# sudo dnf install audit

Copy to Clipboard

Toggle word wrap

系统软件包更新的审计（使用 dnf 和 rpm，包括证书系统）是自动执行的，不需要额外的配置。

注意

添加每个审计规则并重启 auditd 服务后，运行以下命令验证是否已添加新规则：

auditctl -l

# auditctl -l

Copy to Clipboard

Toggle word wrap

新规则的内容应在输出中可见。

有关查看生成的审计日志的说明，请参阅 Red Hat Certificate System Administration Guide 中的 Displaying System-level Audit Logs 部分。

17.2.1.1. 审计证书系统审计日志删除
复制链接

要在删除审计日志时接收审计事件，您需要审核目标为证书系统日志的系统调用。

使用以下内容创建文件 /etc/audit/rules.d/rhcs-audit-log-deletion.rules ：

-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion

-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion

Copy to Clipboard

Toggle word wrap

然后重启 auditd ：

service auditd restart

# service auditd restart

Copy to Clipboard

Toggle word wrap

17.2.1.2. 审计未授权证书系统使用 secret 密钥
复制链接

要接收对证书系统 Secret 或私钥的所有访问权限的审计事件，您需要审核文件系统对 NSS DB 的访问。

使用以下内容创建 /etc/audit/rules.d/rhcs-audit-nssdb-access.rules 文件：

-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb

-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb

Copy to Clipboard

Toggle word wrap

<instance name> 是当前实例的名称。对于 /etc/pki/<instance 名称>/alias 中的每个文件(<file >)，添加到 /etc/audit/rules.d/rhcs-audit-nssdb-access.rules 中，添加以下行：

-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb

-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb

Copy to Clipboard

Toggle word wrap

例如，如果实例名称是 pki-ca121318ec 和 cert9.db,key4.db,NHSM-CONN-XCcert9.db,NHSM-CONN-XCkey4.db, 和 pkcs11.txt 是文件，则配置文件将包含：

-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/cert9.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/key4.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM-CONN-XCcert9.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM-CONN-XCkey4.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/pkcs11.txt -p warx -k rhcs_audit_nssdb

-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/cert9.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/key4.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM-CONN-XCcert9.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM-CONN-XCkey4.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/pkcs11.txt -p warx -k rhcs_audit_nssdb

Copy to Clipboard

Toggle word wrap

然后重启 auditd ：

service auditd restart

# service auditd restart

Copy to Clipboard

Toggle word wrap

17.2.1.3. 审计时间更改事件
复制链接

要接收审计事件是否有时间变化，您需要审核可修改系统时间的系统调用访问。

使用以下内容创建 /etc/audit/rules.d/rhcs-audit-rhcs'audit_time_change.rules 文件：

-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change
-w /etc/localtime -p wa -k rhcs_audit_time_change

-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change
-w /etc/localtime -p wa -k rhcs_audit_time_change

Copy to Clipboard

Toggle word wrap

然后重启 auditd ：

service auditd restart

# service auditd restart

Copy to Clipboard

Toggle word wrap

有关如何设置时间的说明，请参阅 Red Hat Certificate System Administration Guide 中的 Red Hat Enterprise Linux 7 中的设置时间和日期。

17.2.1.4. 审计对证书系统配置的访问
复制链接

要接收对证书系统实例配置文件的所有修改的审计事件，请审核这些文件的文件系统访问。

使用以下内容创建 /etc/audit/rules.d/rhcs-audit-config-access.rules 文件：

-w /etc/pki/ instance_name/server.xml -p wax -k rhcs_audit_config

-w /etc/pki/ instance_name/server.xml -p wax -k rhcs_audit_config

Copy to Clipboard

Toggle word wrap

另外，在 /etc/pki/ instance_name/ 目录中为每个子系统添加以下内容：

-w /etc/pki/ instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config

-w /etc/pki/ instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config

Copy to Clipboard

Toggle word wrap

例 17.1. RHCS-audit-config-access.rules 配置文件

例如，如果实例名称是 pki-ca121318ec，且只安装了 CA，/etc/audit/rules.d/rhcs-audit-config-access.rules 文件将包含：

-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config
-w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config

-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config
-w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config

Copy to Clipboard

Toggle word wrap

请注意，在 rhcs_audit_nssdb 下已对 PKI NSS 数据库的访问已被审核。

返回顶部

17.2. 操作系统(RHCS 的外部)日志设置

17.2.1. 启用 OS 级别审计日志
复制链接

17.2.1.1. 审计证书系统审计日志删除
复制链接

17.2.1.2. 审计未授权证书系统使用 secret 密钥
复制链接

17.2.1.3. 审计时间更改事件
复制链接

17.2.1.4. 审计对证书系统配置的访问
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

17.2. 操作系统(RHCS 的外部)日志设置

17.2.1. 启用 OS 级别审计日志复制链接链接已复制到粘贴板!

17.2.1.1. 审计证书系统审计日志删除复制链接链接已复制到粘贴板!

17.2.1.2. 审计未授权证书系统使用 secret 密钥复制链接链接已复制到粘贴板!

17.2.1.3. 审计时间更改事件复制链接链接已复制到粘贴板!

17.2.1.4. 审计对证书系统配置的访问复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

17.2.1. 启用 OS 级别审计日志
复制链接

17.2.1.1. 审计证书系统审计日志删除
复制链接

17.2.1.2. 审计未授权证书系统使用 secret 密钥
复制链接

17.2.1.3. 审计时间更改事件
复制链接

17.2.1.4. 审计对证书系统配置的访问
复制链接