安全多方位 Linux系統守護進程詳解
2024-08-28 00:05:13
供稿:網友
紅帽企業 Linux 4 Update 2 改進了對審核子系統的內核和用戶支持。審核子系統可以被系統管理員用來監測系統調用和那些符合 CAPP 或其它審核要求的文件系統訪問。它的主要內容包括:
· 默認情況下,審核在內核中被禁用。但是,當安裝了 auditd 軟件后,運行這個軟件將會啟動審核守護進程(auditd)。
· 當 auditd 運行的時候,審核信息會被發送到一個用戶配置日志文件中(默認的文件是 /var/log/audit/audit.log)。如果 auditd 沒有運行,審核信息會被發送到 syslog。這是通過默認的設置來把信息放入 /var/log/messages。如果審核子系統沒有被啟用,沒有審核信息會被產生。
· 這些審核信息包括了 SELinux AVC 信息。以前,AVC 信息會被發送到 syslog,但現在會被審核守護進程發送到審核日志文件中。
· 要完全在內核中禁用審核,在啟動的時候使用 audit=0 參數。您還需要使用 chkconfig auditd off 2345 來關閉 auditd。您可以在運行時使用 auditctl -e 0 來在內核中關閉審核。
紅帽企業 Linux 4 Update 2 包括了審核子系統用戶空間服務和工具程序的初始發行。
審核守護進程(auditd)從內核的 audit netlink 接口獲取審核事件數據。auditd 的配置會不盡相同,如輸出文件配置和日志文件磁盤使用參數可以在 /etc/auditd.conf 文件中配置。請參閱 auditd(8) 和 auditd.conf(5) 說明書頁來獲得詳悉的信息。請注意,如果您設置您的系統來進行 CAPP 風格的審核,您必須設置一個專用的磁盤分區來只供 audit 守護進程使用。這個分區應該掛載在 /var/log/audit。
系統管理員還可以使用 auditctl 工具程序來修改 auditd 守護進程運行時的審核參數、syscall 規則和文件系統的查看。要獲得詳細的信息,請參閱 auditctl(8) 說明書頁。它包括了一個 CAPP 配置樣本,您可以把它拷貝到 /etc/audit.rules 來使它起作用。
審核日志數據可以通過 ausearch 工具程序來查看和搜索。請參閱 ausearch(8) 說明書頁來獲得搜索選項的信息。
2.不要關閉以下服務(除非你有充足的理由):
acpid, haldaemon, messagebus, klogd, network, syslogd
請確定修改的是運行級別 3 和 5。
NetworkManager, NetworkManagerDispatcher
NetworkManager 是一個自動切換網絡連接的后臺進程。很多筆記本用戶都需要啟用該功能,它讓你能夠在無線網絡和有線網絡之間切換。大多數臺式機用戶應該關閉該服務。一些 DHCP 用戶可能需要開啟它。
acpid
ACPI(全稱 Advanced Configuration and Power Interface)服務是電源管理接口。建議所有的筆記本用戶開啟它。一些服務器可能不需要 acpi。支持的通用操作有:“電源開關“,”電池監視“,”筆記本 Lid 開關“,“筆記本顯示屏亮度“,“休眠”, “掛機”,等等。
anacron, atd, cron
這幾個調度程序有很小的差別。 建議開啟 cron,如果你的電腦將長時間運行,那就更應該開啟它。對于服務器,應該更深入了解以確定應該開啟哪個調度程序。大多數情況下,筆記本/臺式機應該關閉 atd 和 anacron。注意:一些任務的執行需要 anacron,比如:清理 /tmp 或 /var。
