FreeBSD 6.2-RELEASE e i successivi includono supporto per audit di eventi relativi alla sicurezza. L'audit degli eventi permette di tener traccia attraverso i log in modo affidabile, preciso e configurabile di una varietà di eventi rilevanti per la sicurezza del sistema, inclusi i login, i cambiamenti della configurazione e l'accesso ai file ed alla rete. Questi dati loggati possono essere molto preziosi per il monitoraggio di sistemi in produzione, ricerca di intrusioni ed analisi post mortem. FreeBSD implementa le API di BSM di Sun™ e i suoi formati di file, ed è interoperabile sia con le implementazioni di audit di Sun™ Solaris™ che con quelle di Apple® Mac OS® X.
Questo capitolo si focalizza sull'installazione e la configurazione dell'Auditing degli Eventi. Spiega politiche di auditing e fornisce come esempio una configurazione di audit.
Dopo aver letto questo capitolo, saprai:
Cosa è l'Auditing di Eventi e come funziona.
Come configurare l'Auditing di Eventi su FreeBSD per utenti e processi.
Come rivedere la traccia di audit usando la riduzione dell'audit e i tool per studiarla.
Prima di leggere questo capitolo, dovresti:
Comprendere le basi di UNIX® e FreeBSD (Capitolo 3, Basi di Unix).
Essere familiare con le basi di configurazione e compilazione del kernel (Capitolo 8, Configurazione del Kernel di FreeBSD).
Avere una certa familiarità con la sicurezza e come si applica a FreeBSD (Capitolo 14, Sicurezza).
La funzione di audit in FreeBSD 6.X
è sperimentale
e la messa in produzione dovrebbe avvenire solo dopo aver ben
ponderato i rischi connessi al software sperimentale.
Le limitazioni note includono che non tutti gli eventi
relativi alla sicurezza al momento posso essere tracciati
con l'audit, e che alcuni meccanismi di login, come
display manager basati su X11 e demoni di terze parti,
non sono correttamente configurabili per tracciare sotto audit
le sessioni di login degli utenti.
La funzione di audit di sicurezza può generare
log molto dettagliati dell'attività di sistema: su un
sistema carico, i file di traccia possono essere molto grandi
quando sono configurati in dettaglio, oltre i gigabytes per settimana.
Gli amministratori dovrebbero tenere in conto le richieste di spazio
associate alla configurazione dell'audit di grandi dimensioni.
Ad esempio, potrebbe essere desiderabile dedicare un intero
file system alle directory sotto /var/audit
in modo che gli altri file system non siano toccati se il file system
di audit si riempie completamente.
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/
Per domande su FreeBSD, leggi la
documentazione prima di contattare
<questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a
<doc@FreeBSD.org>.