LauS(Linux Auditing System)のaudit

2006年05月14日(日) 2時44分
LauS(Linux Auditing System)のaudit

に関して、個人的に調べたのでメモします。

LauSはその名の通りLinuxの監査を行うシステムで、
具体的には特定のプロセス等を監査しログを保存する役割がある。
auditdはデーモンとして動作して監査ログの保存などを行っている。

で、なぜかRHEL(RedHat Enterprise Linux)3と4ではかなりの違いがある

RHEL3だと/var/log/audit.d以下にバイナリ形式のログが保存される。
そのため中身を見るにはaudit専用ツールである、aucatやaugrep等のコマンドを使用しなければならない。
default(update7相当)の設定だとログは20Mのファイルへ世代ごとに保存され、/var/log/audit.dが残り容量20%を切るまで増え続ける

ということは、# chkconfig --list audit がonなシステムでは、長期間運用していると相当な量のログが作成されていると思われる。

しかも古いlausではログが適切に管理されず、/varを使い尽くすまで増え続けるバグあり。。。かなりクレイジー
(laus-0.1-70RHEL3にて修正済み)
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=130071

これらの理由により、特に必要なければ起動させないほうが良いサービスであること間違いなし。

ちなみにサービス停止方法は、
# service audit stop
# chkconfig audit off

その他LauSの簡単な説明は「RHEL3 update2リリースノート」にあり
http://www.jp.redhat.com/security/notes/utf8/RELEASE-NOTES-U2-i386-ja.html
一方、RHEL4だと/var/log/audit以下にテキスト形式のログが保存される。
default(update3相当)だと5Mのファイルで世代ごとに保存され、/var/log/auditが残り容量50Mを切るまで増え続ける
必要ないシステムではかなり迷惑

で、RHEL3の時の様に起動させないようにしたいところだが、サービスを停止させると監査ログが勝手に/var/log/messagesへ出力されるようで、messagesがかなり読みにくくなる。

これが気にならないなら停止しても良さそうだが、messagesが見にくくなるのはかなり問題と思われるので、/varを気にしながら運用する or auditdの設定を変更する必要がありそう。

ちなみに、設定は /etc/auditd.confにて行える。
例えば/var/log/auditが容量残り1000Mを切ったらログの増加を防ぐようにさせるには
admin_space_left = 1000
とすればよさ気。

その他auditdの簡単な説明は「RHEL4 update2リリースノート」にあり
http://www.jp.redhat.com/support/manuals/RHEL4_RELEASE-NOTES-U2-ja.html


簡単に触った感じでは、米国のお役所なんかにLinux入れるために監査ログの記録&保存が必要だからとりあえず作った的な印象をうけた。
  • URL:https://yaplog.jp/issi/archive/11
2006年05月
« 前の月  |  次の月 »
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
最新コメント
アイコン画像Ivan
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Banik
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Ivan
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Denik
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Banik
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Banik
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Ivan
» selinuxらべるについて3 (2008年03月10日)
アイコン画像Ivan
» 約一年ぶりに更新。。。 (2008年03月10日)
アイコン画像Ivan
» selinuxらべるについて3 (2008年03月10日)
アイコン画像Nick
» 約一年ぶりに更新。。。 (2008年03月10日)
プロフィール
  • プロフィール画像
  • アイコン画像 ニックネーム:issi
読者になる
Yapme!一覧
読者になる