Het besturingssysteem FreeBSD heeft ondersteuning voor diepgaande beveiligingsauditing van evenementen. Evenement auditing maakt het mogelijk dat er diepgaande en configureerbare logging van een variateit aan beveiligings-gerelateerde systeem evenementen, waaronder logins, configuratie wijzigingen, bestands- en netwerk toegang. Deze log regels kunnen erg belangrijk zijn voor live systeem monitoring, intrusion detection en postmortem analyse. FreeBSD implementeert Sun™'s gepubliceerde BSM API en bestandsformaat en is uitwisselbaar met zowel Sun's Solaris™ als Apple®'s Mac OS® X audit implementaties.
Dit hoofdstuk richt zich op de installatie en configuratie van evenement auditing. Het legt audit policies uit en geeft voorbeelden van audit configuraties.
Na het lezen van dit hoofdstuk weet de lezer:
Wat evenement auditing is en hoe het werkt.
Hoe evenement auditing geconfigureerd kan worden voor FreeBSD voor gebruikers en processen.
Hoe de audittrail bekeken kan worden door gebruik te maken van de audit reduction en onderzoek programma's.
Voordat verder gegaan wordt moet het volgende bekend zijn:
UNIX® en FreeBSD basishandelingen begrijpen (Hoofdstuk 4).
Bekend zijn met de basishandelingen van kernel configuratie/compilatie (Hoofdstuk 9).
Bekend zijn met beveiliging en hoe dat relateert aan FreeBSD (Hoofdstuk 15).
WaarschuwingDe audit-faciliteiten hebben enkele bekende beperkingen waaronder dat niet alle beveiligings-relevante systeemevenementen geaudit kunnen worden en dat sommige login-mechanismes, zoals X11-gebaseerde display managers en programma's van erde partijen geen (goede) ondersteuning bieden voor het auditen van login-sessies van gebruikers.
De beveiligings evenement auditing faciliteit is in staat om erg gedetailleerde logs van systeem activiteiten op een druk systeem te genereren, trail bestands data kan erg groot worden wanneer er erg precieze details worden gevraagd, wat enkele gigabytes per week kan behalen in sommige configuraties. Beheerders moeten rekening houden met voldoende schijfruimte voor grote audit configuraties. Bijvoorbeeld het kan gewenst zijn om eigen bestandsysteem aan /var/audit toe te wijzen zo dat andere bestandssystemen geen hinder ondervinden als het audit bestandssysteem onverhoopt vol raakt.