auditdによってどのようにシステムの監査ができ、どのように利用するかの概要をまとめました。

下記資料を参考にしてまとめました。
NSA（National Security Agency）の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
　

（１）auditdによるシステム監査の概要

　
１）概要と注意点
　
・auditdは、SELinuxのAVC拒否、システムログイン、アカウント変更、sudoなどを使った認証結果などを監査する事が出来ます。
　
・デフォルト設定ではディスク使用量などを制限する設定もあります。ログが増え続けてディスク使用量を圧迫するなどシステム性能に影響を与えないように注意します。
　
・SELinuxの使用如何に関わらず少なくてもデフォルトルールを使って利用することが望ましいようです。
　
２）auditdで出来ること
　
auditdで適宜設定すると下記のような監査、運用をする事が出来ます。
　
●ファイルアクセスの監視
　
・ファイルやディレクトリーに対するアクセス、修正、実行、属性変更を追跡することができる。
重要なファイルへのアクセスを検出し、これらのファイルが破損した場合に監査証跡として有用。
　
●システムコールの監視
　
・特定のシステムコールが使用されるたびにログエントリーを生成するように設定できる。
settimeofdayやclock_adjtime、その他の時間関連のシステムコールを監視することで、システム時間に対する変更を追跡できる。
　
●ユーザーが実行したコマンドの記録
　
・ファイルが実行されたかどうかを追跡できるので、特定のコマンドの実行を毎回記録するようにルールを定義することができる。
ログをユーザーIDで検索すると、ユーザーごとに実行されたコマンドの監査証跡を生成することができる。
　
●セキュリティイベントの記録
　
・pam_faillock認証モジュールは、失敗したログイン試行を記録することができる。
・Auditで失敗したログイン試行も記録するように設定すると、ログインを試みたユーザーについての追加情報が提供される。
　
●イベントの検索
　
・ausearchユーティリティーを使うと、ログエントリーをフィルターにかけ、いくつもの条件に基づく完全な監査証跡を提供することができる。
　
●サマリーレポートの実行
　
・aureportユーティリティーを使うと、記録されたイベントのデイリーレポートを生成することができる。
システム管理者は、このレポートを分析し、疑わしいアクティビティーをさらに調べることができる。
　
●ネットワークアクセスの監視
　
・iptablesとebtablesユーティリティーはAuditイベントを開始するように設定でき、これでシステム管理者はネットワークアクセスを監視できるようになる。
　
●システムイベントを記録
　
・printコマンドの使用情報の記録、開始・終了イベントの記録。
　
●監査イベントを記録
　
・イベントの日時、イベントを駆動したユーザーID、イベントのタイプ、イベントの成功・失敗の結果、リクエストのソース
　
●具体的な設定例
　
・ファイルが、少なくても一週間以内に異なるシステムまたはバックアップメディアにバックアップされている事をチェックする
・日次で古いログファイルから新しいログファイルへ切り替える。
・設定ファイルが意図せず変更されていないことをチェックする。
　”-e 2″の設定では、auditルールを変更するにはリブートが必要。
・監査データファイルのパーミッションは、”640″またはそれ以上に制限されているかをチェックする。
　

（２）auditdサービスの構成

　
１）auditdサービスの構成
　
auditdサービスは”audit”というRPMパッケージで提供されていて下記のような構成になっています。
　
パッケージ名：audit
設定ファイル：/etc/audit/auditd.conf
監査ルール定義ファイル：/etc/audit/audit.rules
ログ：/var/log/audit/audit.log
　
２）auditdサービスの自動起動の設定
　
OS起動時にサービスを自動で有効にするには、下記設定を行います。
　
# chkconfig auditd on

関連記事の目次