[ Страница назад | Страница вперед | Содержание | Индекс | Библиотека |
Юридическая информация |
Поиск ]
Руководство по управлению системой: Операционная система и устройства
В данном разделе описана процедура
настройки подсистемы контроля. Более подробная информация приведена в
указанных в ней файлах конфигурации.
- Выберите отслеживаемые
системные операции (события) из списка в файле
/etc/security/audit/events или добавьте в этот файл файл новое
событие.
- Добавлять в файл событие
можно только в том случае, если в прикладную программу включена процедура его
регистрации (с помощью подпрограммы auditwrite
или auditlog), либо эта программа включена в
расширение ядра (с помощью служб ядра audit_svcstart, audit_svcbcopy и audit_svcfinis).
- Убедитесь, что в файле
//etc/security/audit/events есть инструкции форматирования для всех
возможных типов контрольных событий. Эти инструкции необходимы для
того, чтобы команда auditpr могла одновременно
с форматированием контрольных записей выполнять запись контрольного
следа.
- Разбейте выбранные вами
события на классы контроля (группы сходных событий). Их определения
находятся в разделе классов файла
/etc/security/audit/config.
- Присвойте контрольные классы
каждому пользователю, а контрольные события - каждому файлу (объекту),
подлежащему контролю:
- Для того чтобы присвоить
контрольный класс конкретному пользователю, добавьте соответствующую строку в
пользовательский раздел файла /etc/security/audit/config.
Для присвоения классов пользователям предназначена команда
chuser.
- Для того чтобы присвоить
объекту (файлу данных или исполняемому файлу) контрольные события, добавьте
для этого файла соответствующий раздел в файл
/etc/security/audit/objects.
- Выберите способ сбора данных
(режим лотка, режим потока, или оба режима одновременно):
- Настройка сбора данных в
режиме лотка:
- Для того чтобы включить режим
лотка, измените раздел запуска в файле
/etc/security/audit/config.
- Отредактировав раздел режима
лотка в файле /etc/security/audit/config, настройте накопители и
контрольный след, а также задайте путь к файлу, содержащему команды работы с
базовой программой в режиме лотка. По умолчанию команды базовой
программы располагаются в файле /etc/security/audit/bincmds.
- Добавьте в контрольный
конвейер файла /etc/security/audit/bincmds команды оболочки,
обслуживающие режим лотка.
- Настройка сбора данных в
режиме потока:
- Отредактируйте раздел запуска
в файле /etc/security/audit/config, включив режим потока.
- Edit the streammode stanza in
the /etc/security/audit/config file to specify the path to the file
containing the streammode processing commands. По умолчанию эти данные
находятся в файле /etc/security/audit/streamcmds.
- Добавьте в контрольный
конвейер файла /etc/security/audit/streamcmds команды оболочки,
обрабатывающие потоковые записи.
- После внесения всех
необходимых изменений в файлы настройки вы можете включить подсистему контроля
командой audit.
Отслеживание выполняется с целью
обнаружения действий, угрожающих безопасности системы. Ниже приведен
список действий, нарушающих защиту системы (в случае их выполнения
пользователем, не имеющим необходимых прав доступа), и поэтому подлежащих
контролю:
- Действия, влияющие на работу
Защищенной компьютерной базы
- Идентификация пользователей
- Вход в систему
- Изменение конфигурации системы
- Попытки обойти систему контроля
- Инициализация системы
- Установка программ
- Изменение учетных файлов
пользователей
- Передача данных в систему или
из нее
Для того чтобы начать отслеживание
определенного действия, необходимо выяснить, какая программа или процесс
инициализируют контрольное событие, и убедиться в том, что это событие указано
в файле /etc/security/audit/events вашей системы. Затем его
нужно добавить либо к соответствующему классу в файле
/etc/security/audit/config, либо в раздел объектов файла
/etc/security/audit/objects. Список контрольных событий и
инструкции по форматированию следа вы найдете в файле
/etc/security/audit/events вашей системы. Данные о записи и
работе с форматами контрольных записей приведены в описании команды
auditpr.
Выбрав события, подлежащие
контролю, следует объединить похожие события в классы, как это описано в
разделе о выборе контрольных классов. Затем контрольные классы
присваиваются конкретным пользователям.
Процесс присвоения контрольных
событий пользователям можно упростить, объединив сходные события в группы,
называемые классами контроля. Их определения находятся в разделе
классов файла /etc/security/audit/config.
Ниже приведены типичные примеры
классов контроля:
| общие
| Общие события изменяют состояние системы и данные идентификации
пользователей. Необходимо отслеживать попытки обойти систему контроля
доступа к системе.
|
| системные
| Это события системной группы, изменяющие учетные файлы пользователей и
групп, и устанавливающие программы.
|
| инициализация
| События группы инициализации, вызванные командой init или ее
аналогами, командами login и cron .
|
Образец раздела классов файла
/etc/security/audit/config:
classes:
general = USER_SU,PASSWORD_Change,FILE_Unlink,
FILE_Link,FILE_Rename
system = USER_Change,GROUP_Change,USER_Create,
GROUP_Create
init = USER_Login,USER_Logout
Выбор способа сбора контрольных
данных зависит от того, как вы планируете использовать их в дальнейшем.
Если необходимо длительно хранить большой объем данных, то выберите режим
лотка. Если требуется немедленная обработка полученных данных, то
рекомендуется потоковый режим. Если же требуется одновременно и
возможность длительного хранения, и немедленная обработка, то включите оба
режима.
| Режим лотка
| Режим лотка позволяет долго хранить контрольный след большого
объема. Контрольные записи заносятся в файл, служащий временным
приемным лотком. После его заполнения программа-демон
auditbin обрабатывает данные и записывает их в контрольный след для
дальнейшего хранения.
|
| Режим потока
| Режим потока позволяет обрабатывать данные по мере их получения.
Контрольные записи добавляются в циклический буфер, находящийся в ядре, и
считываются из него с помощью псевдоустройства /dev/audit.
Затем контрольные записи можно просмотреть на экране, напечатать или
преобразовать в записи режима лотка с помощью команды auditcat.
|
[ Страница назад | Страница вперед | Содержание | Индекс |
Библиотека |
Юридическая информация |
Поиск ]