FreeBSD 6.2-RELEASE e i successivi includono supporto per audit di eventi relativi alla sicurezza. L'audit degli eventi permette di tener traccia attraverso i log in modo affidabile, preciso e configurabile di una varietà di eventi rilevanti per la sicurezza del sistema, inclusi i login, i cambiamenti della configurazione e l'accesso ai file ed alla rete. Questi dati loggati possono essere molto preziosi per il monitoraggio di sistemi in produzione, ricerca di intrusioni ed analisi post mortem. FreeBSD implementa le API di BSM di Sun™ e i suoi formati di file, ed è interoperabile sia con le implementazioni di audit di Sun Solaris™ che con quelle di Apple® Mac OS® X.
Questo capitolo si focalizza sull'installazione e la configurazione dell'Auditing degli Eventi. Spiega politiche di auditing e fornisce come esempio una configurazione di audit.
Dopo aver letto questo capitolo, saprai:
Cosa è l'Auditing di Eventi e come funziona.
Come configurare l'Auditing di Eventi su FreeBSD per utenti e processi.
Come rivedere la traccia di audit usando la riduzione dell'audit e i tool per studiarla.
Prima di leggere questo capitolo, dovresti:
Comprendere le basi di UNIX® e FreeBSD (Capitolo 3).
Essere familiare con le basi di configurazione e compilazione del kernel (Capitolo 8).
Avere una certa familiarità con la sicurezza e come si applica a FreeBSD (Capitolo 14).
Avvertimento: La funzione di audit in FreeBSD 6.X è sperimentale e la messa in produzione dovrebbe avvenire solo dopo aver ben ponderato i rischi connessi al software sperimentale. Le limitazioni note includono che non tutti gli eventi relativi alla sicurezza al momento posso essere tracciati con l'audit, e che alcuni meccanismi di login, come display manager basati su X11 e demoni di terze parti, non sono correttamente configurabili per tracciare sotto audit le sessioni di login degli utenti.
La funzione di audit di sicurezza può generare log molto dettagliati dell'attività di sistema: su un sistema carico, i file di traccia possono essere molto grandi quando sono configurati in dettaglio, oltre i gigabytes per settimana. Gli amministratori dovrebbero tenere in conto le richieste di spazio associate alla configurazione dell'audit di grandi dimensioni. Ad esempio, potrebbe essere desiderabile dedicare un intero file system alle directory sotto /var/audit in modo che gli altri file system non siano toccati se il file system di audit si riempie completamente.
Indietro | Partenza | Avanti |
Troubleshooting the MAC Framework | Risali | Termini chiave - Parole da conoscere |
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Per domande su FreeBSD, leggi la documentazione prima di contattare <[email protected]>.
Per domande su questa documentazione, invia una e-mail a <[email protected]>.