Regler för revisionskontroll är en viktig komponent i Linux-säkerhetsramverket. Regler för revisionskontroll hanteras av auditd konfigurationsverktyg som auditctl och ausearch och tillåter systemadministratörer att specificera när och vilka säkerhetsrelevanta händelser som loggas.
Nedan finns en steg-för-steg-guide för att definiera revisionskontrollregler i Rocky Linux 8:
1. Öppna granskningskonfigurationsfilen
För att komma åt och ändra revisionskontrollregler måste du öppna revisionskonfigurationsfilen. Detta kan åstadkommas med hjälp av en textredigerare med root-privilegier. I det här exemplet använder vi vi-textredigeraren:
```
sudo vi /etc/audit/audit.rules
```
2. Förstå syntaxen för revisionskontrollregler
Inuti filen audit.rules kommer du att stöta på regler uttryckta i ett specifikt format. Varje regel består av tre huvudkomponenter:
a) Åtgärd:Detta anger vilken åtgärd som ska vidtas när en regel matchar. De två vanliga åtgärderna är "tillåt" och "förneka".
b) Fältspecifikation:Detta bestämmer vilken aspekt av händelsen som matchas mot regeln. Till exempel matchar fältspecifikationen "comm" mot processnamnet, medan "nyckel" matchar mot den specifika nyckeln.
c) Value Specifier:Detta är värdet som kommer att matchas mot när en händelse inträffar. Det kan vara ett enskilt värde eller ett reguljärt uttryck.
3. Att skriva en revisionskontrollregel
Med kunskap om syntaxen för revisionskontrollregler kan du skapa en ny regel. Som ett exempel, låt oss skapa en regel som loggar alla försök att komma åt filen "/etc/passwd":
```
-w /etc/passwd -p wa -k pass_access
```
4. Förklaring av den anpassade regeln:
-w: Denna specificering matchar filbevakningshändelser, särskilt alla försök att skriva eller modifiera filen.
-p: Denna specificering fokuserar på behörigheten och är inställd på "wa", vilket indikerar skrivåtkomstförsök.
-k: Denna specificering ställer in nyckeln för regeln till "pass_access", vilket gör att vi enkelt kan söka efter händelser relaterade till denna specifika regel.
5. Spara granskningskonfigurationen
När du har skapat dina anpassade regler, spara filen audit.rules genom att trycka på Esc-tangenten följt av ":wq" för att spara och avsluta vi.
6. Starta om Audit Daemon
För att de nya revisionskontrollreglerna ska träda i kraft måste du starta om den granskade tjänsten:
```
sudo service granskad omstart
```
7. Verifiera revisionskontrollreglerna
Du kan verifiera att revisionskontrollreglerna implementerades framgångsrikt genom att använda ausearch-kommandot:
```
ausearch -k pass_access
```
Detta kommando visar alla händelser som loggades enligt "pass_access"-nyckeln som du angav i din anpassade regel.
Slutsats
Revisionskontrollregler i Rocky Linux 8 ger systemadministratörer detaljerad kontroll över säkerhetsrelaterad händelseloggning. Genom att noggrant utforma och implementera dessa regler kan du uppnå en högre nivå av systemsäkerhet och efterlevnad. Kom ihåg att alltid överväga de specifika kraven för ditt system och konsultera den officiella Rocky Linux-dokumentationen för ytterligare information eller avancerade användningsscenarier.
