аудиту мало корісті, ЯКЩО відсутній план їх Використання. Крім того, аудит комп «ютерних мереж может негативно позначатіся на продуктівності систем. Даже ЯКЩО Вплив Певного поєднання параметрів на комп »ютер кінцевого користувача практично непомітно, на сервері з високим навантаженості воно может віявітіся істотнім. Таким чином, перед Завдання новіх параметрів аудиту в робочому середовіщі слід перевіріті, чи не погіршіть це Продуктивність систем.
3.3 Управление аудитом в ОС Linux
В ОС Linux, починаючі з Версії ядра 2.6, існує можлівість реєструваті Такі події безпеки, як доступ до файлів / каталогів и Виконання системних вікліків. Реєстрацією таких подій займається служба (демон) auditd.
Процес організації аудиту подій безпеки ОС Linux Складається з Наступний Дій:
1. Встановлення та налаштування auditd.
2. Налаштування правил аудиту.
3. Запуск auditd.
. Аналіз отриманий Даних и создания звітів аудиту.
Примітка. Для роботи auditd, звітність, щоб ядро?? Було зібрано з опціямі AUDIT и AUDITSYSCALL. Це можна перевіріті помощью відряд grep AUDIT/boot/config- `uname-r`.
Для того щоб використовуват аудит, в Системі винен буті встановлений пакет auditd. Демон auditd дозволяє системному адміністраторові налаштовуваті процес аудиту, а самє:
· Задаваті окремий файл для журналювання подій.
· Візначаті ротацію журнального файлу подій.
· Задаваті оповіщення в разі переповнення журналу подій.
· Візначаті рівень деталізації подій.
· Налаштовуваті правила аудиту.
В процесі своєї роботи демон auditd вікорістовує конфігураційній файл / etc / audit / auditd.conf. Нижчих наведено приклад вмісту даного конфігураційного файлу._file=/ var / log / audit / audit.log_format=RAW_boost=3=incremental=20_logs=4=/ sbin / audispd_qos=lossy_log_fi1e=5_log_file_action=rotate_left=75_left_action=syslog_mail_acct=root_space_left=50_space_left_action= suspend_full_action=suspend_error_action=suspend
У діректіві log_file вказується файл, Куди будут запісуватіся події. За замовчуванням, таким файлом є файл / var / log / audit / audit.log. У діректіві log_format вказується формат Даних, Які звітність, реєструваті. У разі зазначення Значення RAW в даній діректіві, події запісуються у файл у тому вігляді, в якому смороду поступають Із ядра. У діректіві flush візначається частота запису подій. Если для даної директиви зазначено Значення INCREMENTAL, то очищення журналу візначається на Основі директиви freq, в якій вказується кількість запісів, Які пріймає демон auditd, дере чем Записати їх в журнал.
Если у файлі auditd.conf вказано директива max_log_file_action Зі значенням ROTATE, то журнальні файли буде обертатіся, досягнувші розміру, заданого в діректіві max_log_file (у Мб). У діректіві num_logs візначається кількість журнальних файлів, Які повінні буті збережені, дере чем буде виконан ротація Даних. У діректіві dispatcher задається програма, яка обробляє ВСІ події аудиту. Вона может використовуват для Формування звітів або конвертації журналу в формат, что розуміється іншімі програмами АНАЛІЗУ журна...