Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Nižšie je uvedený podrobný návod na definovanie pravidiel kontroly auditu v Rocky Linux 8:
1. Otvorte súbor konfigurácie auditu
Ak chcete získať prístup a upraviť pravidlá kontroly auditu, musíte otvoriť konfiguračný súbor auditu. To možno vykonať pomocou textového editora s oprávneniami root. V tomto príklade použijeme textový editor vi:
```
sudo vi /etc/audit/audit.rules
```
2. Pochopenie syntaxe pravidiel kontroly auditu
V súbore audit.rules sa stretnete s pravidlami vyjadrenými v špecifickom formáte. Každé pravidlo pozostáva z troch hlavných komponentov:
a) Akcia:Špecifikuje, aká akcia sa má vykonať, keď sa pravidlo zhoduje. Dve bežné akcie sú „povoliť“ a „zamietnuť“.
b) Špecifikátor poľa:Určuje, ktorý aspekt udalosti sa zhoduje s pravidlom. Napríklad špecifikátor poľa „comm“ sa zhoduje s názvom procesu, zatiaľ čo „key“ sa zhoduje so špecifickým kľúčom.
c) Špecifikátor hodnoty:Toto je hodnota, s ktorou sa bude porovnávať, keď nastane udalosť. Môže to byť jedna hodnota alebo regulárny výraz.
3. Napísanie pravidla kontroly auditu
So znalosťou syntaxe pravidiel kontroly auditu môžete vytvoriť nové pravidlo. Ako príklad vytvoríme pravidlo, ktoré zaznamená všetky pokusy o prístup k súboru "/etc/passwd":
```
-w /etc/passwd -p wa -k pass_access
```
4. Vysvetlenie vlastného pravidla:
-w: Tento špecifikátor sa zhoduje s udalosťami sledovania súborov, najmä s akýmikoľvek pokusmi o zápis alebo úpravu súboru.
-p: Tento špecifikátor sa zameriava na oprávnenie a je nastavený na „wa“, čo označuje pokusy o prístup k zápisu.
-k: Tento špecifikátor nastavuje kľúč pre pravidlo na "pass_access", čo nám umožňuje jednoducho vyhľadávať udalosti súvisiace s týmto špecifickým pravidlom.
5. Uložte konfiguráciu auditu
Po vytvorení vlastných pravidiel uložte súbor audit.rules stlačením klávesu Esc a potom „:wq“, čím uložíte a ukončíte vi.
6. Reštartujte démona auditu
Aby nové pravidlá kontroly auditu nadobudli účinnosť, musíte reštartovať auditovanú službu:
```
sudo servis auditovaný reštart
```
7. Overte pravidlá kontroly auditu
Úspešnú implementáciu pravidiel kontroly auditu môžete overiť pomocou príkazu ausearch:
```
ausearch -k pass_access
```
Tento príkaz zobrazí všetky udalosti, ktoré boli zaznamenané podľa kľúča „pass_access“, ktorý ste zadali vo vašom vlastnom pravidle.
Záver
Pravidlá kontroly auditu v Rocky Linux 8 poskytujú správcom systému podrobnú kontrolu nad protokolovaním udalostí súvisiacich so zabezpečením. Starostlivým vytvorením a implementáciou týchto pravidiel môžete dosiahnuť vyššiu úroveň zabezpečenia systému a súladu. Pamätajte, že vždy zvážte špecifické požiadavky vášho systému a pozrite si oficiálnu dokumentáciu Rocky Linux, kde nájdete ďalšie informácie alebo pokročilé scenáre používania.