红帽全球峰会18.2. 操作系统( RHCS 的外部)日志设置
18.2.1. 启用操作系统级别的审计日志
警告
以下部分中的所有操作都必须通过 sudo 以 root 或特权用户身份执行。
auditd 日志记录框架提供了许多额外的审计功能。这些操作系统级别的审计日志补充功能由证书系统直接提供。在执行本节中的任何以下步骤前,请确保安装了 audit 软件包:
# sudo yum install audit
系统软件包更新(使用
yum 和 rpm 包含证书系统)的审计会自动执行,不需要额外的配置。
注意
添加每个审计规则并重启 auditd 服务后,运行以下命令来验证新规则是否已添加:
# auditctl -l
新规则的内容应在输出中可见。
有关查看生成的审计日志的说明,请参阅 Red Hat Certificate System Administration Guide中的 Displaying System-level Audit Logs 部分。
18.2.1.1. 审计证书系统审计日志删除
要在删除审计日志时接收审计事件,您需要审核目标为证书系统日志的系统调用。
使用以下内容创建文件
/etc/audit/rules.d/rhcs-audit-log-deletion.rules :
-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
然后重启
auditd :
# service auditd restart18.2.1.2. 审计未授权证书系统使用 Secret 密钥
要接收对证书系统 Secret 或私钥的所有访问权限的审计事件,您需要审核文件系统对 NSS 数据库的访问。
使用以下内容创建
/etc/audit/rules.d/rhcs-audit-nssdb-access.rules 文件:
-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb
<instance name> 是当前实例的名称。对于
/etc/pki/<instance name>/alias 中的每个文件('<file& gt;'),添加到 /etc/audit/rules.d/rhcs-audit-nssdb-access.rules 中,行:
-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb
例如,如果实例名称是
pki-ca121318ec 和 cert9.db,key4.db,NHSM-CONN-XCcert9.db,NHSM-CONN-XCkey4.db, 和 pkcs11.txt 是文件,则配置文件将包含:
-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/cert9.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/key4.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/NHSM-CONN-XCcert9.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/NHSM-CONN-XCkey4.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/pkcs11.txt -p warx -k rhcs_audit_nssdb
然后重启
auditd :
# service auditd restart18.2.1.3. 审计时间更改事件
要接收审计事件是否有时间变化,您需要审核可修改系统时间的系统调用访问。
使用以下内容创建
/etc/audit/rules.d/rhcs-audit-rhcs_audit_time_change.rules 文件:
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change -a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change -a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change -w /etc/localtime -p wa -k rhcs_audit_time_change
然后重启
auditd :
# service auditd restart
有关如何设置时间的说明,请参阅 Red Hat Certificate System Administration Guide 中的在 Red Hat Enterprise Linux 7 中设置时间和日期。
18.2.1.4. 审计对证书系统配置的访问
要接收对证书系统实例配置文件的所有修改的审计事件,请审核这些文件的文件系统访问。
使用以下内容创建
/etc/audit/rules.d/rhcs-audit-config-access.rules 文件:
-w /etc/pki/instance_name/server.xml -p wax -k rhcs_audit_config
另外,为
/etc/pki/instance_name/ 目录中为每个子系统添加以下内容:
-w /etc/pki/instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config
例 18.1. RHCS-audit-config-access.rules 配置文件
例如,如果实例名称是 pki-ca121318ec 且只安装了 CA,则
/etc/audit/rules.d/rhcs-audit-config-access.rules 文件将包含:
-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config -w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config
请注意,对 PKI NSS 数据库的访问已在 rhcs_audit_nssdb 下进行审核。
