auditd - audit daemon

STIG 要求所有系统运行 audit daemon，auditd，以监控系统调用和其他关键事件。该守护进程具有规则，定义哪些事件在系统上值得注意，并且可以基于它发现的事件生成警报。

概述

Audit daemon 规则

auditd 规则通过单个任务通过模板 (templates/osas-auditd-rhel7.j2) 部署。每个规则或一组相似的规则由以 security_audit_rhel7 开头的 Ansible 变量控制。请参阅 defaults/main.yml 以获取这些变量的列表。

示例

# Add audit rules for commands/syscalls.
security_rhel7_audit_chsh: yes                               # V-72167
security_rhel7_audit_chage: yes                              # V-72155
security_rhel7_audit_chcon: yes                              # V-72139
security_rhel7_audit_chmod: no                               # V-72105
security_rhel7_audit_chown: no                               # V-72097

例如，将 security_rhel7_audit_chown 设置为 yes 将确保审计 chown 使用的规则包含在每个主机上。将 security_rhel7_audit_chown 设置为 no 将在每个主机上省略该规则。

处理 audit 紧急情况

auditd 有几种配置，部署者需要详细审查。在 ## Audit daemon (auditd) 注释下方的选项将改变 auditd 处理日志文件的方式以及在紧急情况下应该如何处理。

警告

部署者应彻底测试 auditd 紧急情况配置的所有更改。其中一些配置选项可能会在生产系统上引起严重问题，范围从安全性的降低到服务器意外离线。对于每个 STIG 要求，开发人员注释中都有大量的文档。