Das "Linux Auditing System" [1] ist ein mächtiges Framework für das Auditieren sicherheitsrelevanter Ereignisse auf Linux-Systemen. Im Kernel stellt das Framework an verschiedensten Stellen "Hooks" zur Verfügung. Diese haben die Aufgabe, eine Vielzahl möglicher Events zu überwachen und entsprechende Aktivitäten zur Aufzeichnung an den audit-Service im Userspace weiterzuleiten. Welche Ereignisse überwacht werden sollen, regelt die Datei "/etc/audit/audit.rules". Dynamische Regeln nimmt der Service über das Werkzeug "auditctl" entgegen.
Zur Abfrage der von auditd geschriebenen Logdatei kommt entweder das Tool "ausearch" oder "aureport" zum Einsatz. In der Datei "/etc/audit/auditd.conf" definieren Sie genaue Einstellungen für die Protokollierung. Dazu gehört beispielsweise, wie sich der Dienst verhalten soll, wenn auf der Festplatte kein Platz mehr für das Speichern zusätzlicher Audit-Ereignisse vorhanden ist. Der Dienst kann bei Bedarf sogar das ganze System herunterfahren, um zu verhindern, dass Events,
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.