A FreeBSD támogatja a biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható, részletes és jól konfigurálható naplózási rendszert nyújtanak a rendszerben található biztonságot igénylő események széles köréhez, beleértve a bejelentkezéseket, a konfigurációs állományokban bekövetkező változásokat, állomány- és hálózati hozzáféréseket. Az így létrehozott naplóbejegyzések felbecsülhetetlen értékűnek bizonyulhatnak egy élő rendszer felügyelete során, vagy egy hálózati támadás észleléséhez, esetleg egy összeomlás okainak kielemezéséhez. A FreeBSD ehhez a SunTM által kifejlesztett BSM technológia API-ját és állományformátumát valósítja meg, és így képes együttműködni a SunTM SolarisTM valamint az Apple(R) Mac OS(R) X bizonsági rendszereivel egyaránt.
Ebben a fejezetben a biztonsági események vizsgálatának telepítéséhez és beállításához szükséges ismeretek tekintjük át. Ennek keretében szó esik a vizsgálati házirendekről, valamint mutatunk egy példát a vizsgálatok beállítására.
A fejezet elolvasása során megismerjük:
mit jelent az események vizsgálata és hogyan működik;
hogyan kell beállítani az események vizsgálatát FreeBSD-n a különböző felhasználók és programok esetén;
hogyan értelmezzük a vizsgálati nyomokat a vizsgálatot szűkítő és -elemző segédprogramok segítségével.
A fejezet elolvasásához ajánlott:
alapvető UNIX(R)-os és FreeBSD-s ismeretek (3. fejezet - A UNIX alapjai);
a rendszermag konfigurálásával és fordításával kapcsolatos tudnivalók alapszintű ismerete (8. fejezet - A FreeBSD rendszermag testreszabása);
az informatikai biztonság alapfogalmainak és annak a FreeBSD-re vonatkozó részleteinek minimális ismerete (14. fejezet - Biztonság).
Az események vizsgálatával kapcsolatos ismert korlátozások: nem mindegyik biztonságot érintő esemény vizsgálható, mint például az egyes bejelentkezési típusok, mivel azok nem megfelelően hitelesítik a belépő felhasználókat. Ilyenek például az X11-alapú felületek és az egyéb, erre a célra alkalmas, más által fejlesztett démonok.
A biztonsági események vizsgálata
során a rendszer képes nagyon részletes
naplókat készíteni az érintett
tevékenységekről. Így egy
kellően forgalmas rendszeren az
állománymozgások alapos
nyomonkövetése bizonyos
konfigurációkon akár gigabyte-okat is
kitehet hetente. A rendszergazdáknak ezért mindig
javasolt számolniuk a nagy forgalmú
események biztonsági vizsgálatának
tárigényével. Például,
emiatt érdemes lehet egy egész
állományrendszert szánni erre a feladatra a
/var/audit
könyvtárban,
és így a többi állományrendszer
nem látja kárát, ha véletlenül
betelne ez a terület.
Ha kérdése van a FreeBSD-vel kapcsolatban, a
következő címre írhat (angolul):
<questions@FreeBSD.org>.
Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon:
<gabor@FreeBSD.org>.