LauS(Linux Auditing System)のaudit
2006年05月14日(日) 2時44分
LauS(Linux Auditing System)のaudit
に関して、個人的に調べたのでメモします。
LauSはその名の通りLinuxの監査を行うシステムで、
具体的には特定のプロセス等を監査しログを保存する役割がある。
auditdはデーモンとして動作して監査ログの保存などを行っている。
で、なぜかRHEL(RedHat Enterprise Linux)3と4ではかなりの違いがある。
RHEL3だと/var/log/audit.d以下にバイナリ形式のログが保存される。
そのため中身を見るにはaudit専用ツールである、aucatやaugrep等のコマンドを使用しなければならない。
default(update7相当)の設定だとログは20Mのファイルへ世代ごとに保存され、/var/log/audit.dが残り容量20%を切るまで増え続ける。
ということは、# chkconfig --list audit がonなシステムでは、長期間運用していると相当な量のログが作成されていると思われる。
しかも古いlausではログが適切に管理されず、/varを使い尽くすまで増え続けるバグあり。。。かなりクレイジー
(laus-0.1-70RHEL3にて修正済み)
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=130071
これらの理由により、特に必要なければ起動させないほうが良いサービスであること間違いなし。
ちなみにサービス停止方法は、
# service audit stop
# chkconfig audit off
その他LauSの簡単な説明は「RHEL3 update2リリースノート」にあり
http://www.jp.redhat.com/security/notes/utf8/RELEASE-NOTES-U2-i386-ja.html
に関して、個人的に調べたのでメモします。
LauSはその名の通りLinuxの監査を行うシステムで、
具体的には特定のプロセス等を監査しログを保存する役割がある。
auditdはデーモンとして動作して監査ログの保存などを行っている。
で、なぜかRHEL(RedHat Enterprise Linux)3と4ではかなりの違いがある。
RHEL3だと/var/log/audit.d以下にバイナリ形式のログが保存される。
そのため中身を見るにはaudit専用ツールである、aucatやaugrep等のコマンドを使用しなければならない。
default(update7相当)の設定だとログは20Mのファイルへ世代ごとに保存され、/var/log/audit.dが残り容量20%を切るまで増え続ける。
ということは、# chkconfig --list audit がonなシステムでは、長期間運用していると相当な量のログが作成されていると思われる。
しかも古いlausではログが適切に管理されず、/varを使い尽くすまで増え続けるバグあり。。。かなりクレイジー
(laus-0.1-70RHEL3にて修正済み)
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=130071
これらの理由により、特に必要なければ起動させないほうが良いサービスであること間違いなし。
ちなみにサービス停止方法は、
# service audit stop
# chkconfig audit off
その他LauSの簡単な説明は「RHEL3 update2リリースノート」にあり
http://www.jp.redhat.com/security/notes/utf8/RELEASE-NOTES-U2-i386-ja.html
- セキュリティ |
- URL |
- コメント(1,000) |
