일반 감사 로그 생성

온라인 편집

다음은 일반 감사 로그를 생성하는 예제입니다.

이 예제에서는 시스템 관리자가 감사 서브시스템을 사용하여 대규모 다중 사용자 서버 시스템을 모니터하려고 한다고 가정합니다. IDS로의 직접 통합은 수행되지 않으며 모든 감사 레코드에 불규칙한 부분이 없는지 수동으로 검사합니다. 생성된 데이터의 양을 관리 가능한 크기로 유지하기 위해 몇 개의 필수 감사 이벤트만 기록됩니다.

이벤트 발견의 대상으로 고려되는 감사 이벤트는 다음과 같습니다.
FILE_Write
구성 파일에 대한 파일 쓰기에 대해 알고 싶으므로 이 이벤트는 /etc 트리의 모든 파일에서 사용됩니다.
PROC_SetUserIDs
사용자 ID의 모든 변경사항
AUD_Bin_Def
감사 바이너리 구성
USER_SU
' su ' 명령
PASSWORD_Change
passwd 명령
AUD_Lost_Rec
유실된 레코드가 있는 경우 알림
CRON_JobAdd
새로운 cron 작업
AT_JobAdd
새로운 at 작업
USER_Login
모든 로그인
PORT_Locked
유효하지 않은 시도가 과도하게 발생하여 모든 터미널 잠금

다음은 일반 감사 로그를 생성하는 방법의 예제입니다.

  1. ' /etc '의 모든 파일과 같이 변경 사항을 모니터링할 중요 파일 목록을 설정하고 다음과 같이 ' objects ' 파일에서 FILE_Write 이벤트에 대해 구성합니다:
    find /etc -type f | awk '{printf("%s:\n\tw = FILE_Write\n\n",$1)}' >> /etc/security/audit/objects
  2. ' auditcat ' 명령을 사용하여 BIN 모드 감사를 설정합니다. ' /etc/security/audit/bincmds ' 파일은 다음과 유사합니다:
    /usr/sbin/auditcat -p -o $trail $bin
  3. ' /etc/security/audit/config ' 파일을 편집하고 관심 있는 이벤트에 대한 클래스를 추가합니다. 기존 사용자를 모두 나열하고 해당 사용자에 대한 ' custom 클래스를 지정합니다.
    start:
        binmode = on
        streammode = off

bin:
        cmds = /etc/security/audit/bincmds
        trail = /audit/trail
        bin1 = /audit/bin1
        bin2 = /audit/bin2
        binsize = 100000
        freespace = 100000

classes:
        custom = FILE_Write,PROC_SetUser,AUD_Bin_Def,AUD_Lost_Rec,USER_SU, \
                 PASSWORD_Change,CRON_JobAdd,AT_JobAdd,USER_Login,PORT_Locked

users:
        root = custom
        afx = custom
        ...
  4. ' custom 감사 클래스를 ' /usr/lib/security/mkuser.default ' 파일에 추가하여 새 ID에 자동으로 올바른 감사 호출이 연결되도록 합니다:
    user:
    auditclasses = custom
    pgrp = staff
    groups = staff
    shell = /usr/bin/ksh
    home = /home/$USER
  5. SMIT 또는 ' crfs ' 명령을 사용하여 ' /audit '라는 이름의 새 파일 시스템을 생성합니다. 파일 시스템은 두 개의 바이너리와 대형 감사 레코드를 보유할 만큼 충분히 커야 합니다.
  6. ' audit start 명령 옵션을 실행하고 ' /audit ' 파일을 살펴봅니다. 처음에 두 개의 바이너리와 빈 trail 파일이 표시되어야 합니다. 시스템을 한동안 사용한 후에는 ' trail ' 파일에 읽을 수 있는 감사 기록이 있어야 합니다:
    auditpr  -hhelpPRtTc -v | more
이 예제에서는 몇 개의 이벤트만 사용합니다. 모든 이벤트를 보려면 모든 사용자에 대해 클래스 이름 ALL을 지정하면 됩니다. 이 조치는 많은 양의 데이터를 생성합니다. 사용자 변경사항 및 특권 변경사항과 관련된 모든 이벤트를 custom 클래스에 추가할 수 있습니다.