Fejezet 17. Biztonsági események vizsgálata

Tartalom
17.1. Áttekintés
17.2. A fejezet fontosabb fogalmai
17.3. A vizsgálat támogatásának telepítése
17.4. A vizsgálat beállítása
17.5. A vizsgálati alrendszer használata
Írta: Tom Rhodes és Robert Watson.

17.1. Áttekintés

A FreeBSD támogatja a biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható, részletes és jól konfigurálható naplózási rendszert nyújtanak a rendszerben található biztonságot igénylő események széles köréhez, beleértve a bejelentkezéseket, a konfigurációs állományokban bekövetkező változásokat, állomány- és hálózati hozzáféréseket. Az így létrehozott naplóbejegyzések felbecsülhetetlen értékűnek bizonyulhatnak egy élő rendszer felügyelete során, vagy egy hálózati támadás észleléséhez, esetleg egy összeomlás okainak kielemezéséhez. A FreeBSD ehhez a Sun™ által kifejlesztett BSM technológia API-ját és állományformátumát valósítja meg, és így képes együttműködni a Sun Solaris™ valamint az Apple® Mac OS® X bizonsági rendszereivel egyaránt.

Ebben a fejezetben a biztonsági események vizsgálatának telepítéséhez és beállításához szükséges ismeretek tekintjük át. Ennek keretében szó esik a vizsgálati házirendekről, valamint mutatunk egy példát a vizsgálatok beállítására.

A fejezet elolvasása során megismerjük:

A fejezet elolvasásához ajánlott:

Figyelem: Az események vizsgálatával kapcsolatos ismert korlátozások: nem mindegyik biztonságot érintő esemény vizsgálható, mint például az egyes bejelentkezési típusok, mivel azok nem megfelelően hitelesítik a belépő felhasználókat. Ilyenek például az X11-alapú felületek és az egyéb, erre a célra alkalmas, más által fejlesztett démonok.

A biztonsági események vizsgálata során a rendszer képes nagyon részletes naplókat készíteni az érintett tevékenységekről. Így egy kellően forgalmas rendszeren az állománymozgások alapos nyomonkövetése bizonyos konfigurációkon akár gigabyte-okat is kitehet hetente. A rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú események biztonsági vizsgálatának tárigényével. Például, emiatt érdemes lehet egy egész állományrendszert szánni erre a feladatra a /var/audit könyvtárban, és így a többi állományrendszer nem látja kárát, ha véletlenül betelne ez a terület.

Ha kérdése van a FreeBSD-vel kapcsolatban, a következő címre írhat (angolul): <[email protected]>.
Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon: <[email protected]>.