11.3. 为安全环境配置 auditd
默认的 auditd
配置应该适合于大多数环境。但是,如果您的环境必须满足严格的安全策略,您可以在 /etc/audit/auditd.conf
文件中更改审计守护进程配置的以下设置:
log_file
-
包含审计日志文件的目录(通常为
/var/log/audit/
)应位于单独的挂载点上。这可以防止其他进程消耗此目录的空间,并为审计守护进程提供准确的剩余空间检测。 max_log_file
-
指定单个审计日志文件的最大大小,必须设置为充分利用保存审计日志文件的分区上的可用空间。
max_log_file
参数指定最大文件大小(以 MB 为单位)。给出的值必须是数字。 max_log_file_action
-
一旦达到
max_log_file
中设置的限制,决定要采取什么行动,应将其设置为keep_logs
,以防止审计日志文件被覆盖。 space_left
-
指定磁盘上剩余的可用空间量,其是
space_left_action
参数中设置的触发时所采取的操作。必须设置一个数字,让管理员有足够的时间来响应,并释放磁盘空间。space_left
的值取决于审计日志文件的生成速度。如果将 space_left 的值指定为整数,它将解释为绝对大小(MiB)。如果该值指定为 1 到 99 之间的数字,后跟一个百分比符号(例如 5%),则审计守护进程会根据包含log_file
的文件系统大小计算绝对大小(以 MB 为单位)。 space_left_action
-
建议将
space_left_action
参数设置为email
或 使用适当通知方法的exec
。 admin_space_left
-
指定绝对最小可用空间量,其是
admin_space_left_action
参数中设置的触发时所采取的操作,必须设置一个值,为记录管理员所执行的操作保留足够的空间。此参数的数字值应小于 space_left 的数。您还可以将百分比符号(例如 1%)附加到数字,以使审计守护进程根据磁盘分区计算数。 admin_space_left_action
-
应设置为
single
来将系统置于单用户模式,并允许管理员释放一些磁盘空间。 disk_full_action
-
指定当保存审计日志文件的分区上没有可用空间时触发的操作,必须设置为
halt
或single
。当审计无法记录事件时,这可确保系统关闭或以单用户模式运行。 disk_error_action
-
指定当在包含审计日志文件的分区上检测到错误时触发的操作,必须设置为
syslog
、single
或halt
,具体取决于您处理硬件故障的本地安全策略。 flush
-
应设置为
incremental_async
。它与freq
参数相结合,该参数决定了在强制与硬盘进行硬盘同步前可以将多少条记录发送到磁盘。freq
参数应设置为100
。这些参数可确保审计事件数据与磁盘上的日志文件同步,同时保持良好的活动性能。
其余配置选项应根据您的本地安全策略来设置。