Di seguito è riportata una guida passo passo per definire le regole di controllo di audit in Rocky Linux 8:
1. Apri il file di configurazione del controllo
Per accedere e modificare le regole di controllo di audit, è necessario aprire il file di configurazione di audit. Ciò può essere ottenuto utilizzando un editor di testo con privilegi di root. In questo esempio utilizzeremo l'editor di testo vi:
```
sudo vi /etc/audit/audit.rules
```
2. Comprensione della sintassi delle regole di controllo di audit
All'interno del file audit.rules troverai regole espresse in un formato specifico. Ogni regola è composta da tre componenti principali:
a) Azione:specifica quale azione deve essere intrapresa quando una regola corrisponde. Le due azioni comuni sono "consenti" e "nega".
b) Identificatore di campo:determina quale aspetto dell'evento corrisponde alla regola. Ad esempio, l'identificatore di campo "comm" corrisponde al nome del processo, mentre "key" corrisponde alla chiave specifica.
c) Identificatore del valore:questo è il valore con cui verrà confrontato quando si verifica un evento. Può essere un valore singolo o un'espressione regolare.
3. Scrivere una regola di controllo di audit
Conoscendo la sintassi delle regole di controllo di audit, è possibile creare una nuova regola. Ad esempio, creiamo una regola che registri tutti i tentativi di accesso al file "/etc/passwd":
```
-w /etc/passwd -p wa -k pass_access
```
4. Spiegazione della regola personalizzata:
-w: Questo identificatore corrisponde agli eventi di controllo dei file, in particolare a qualsiasi tentativo di scrivere o modificare il file.
-p: Questo specificatore si concentra sull'autorizzazione ed è impostato su "wa", indicando i tentativi di accesso in scrittura.
-k: Questo specificatore imposta la chiave della regola su "pass_access", consentendoci di cercare facilmente eventi correlati a questa regola specifica.
5. Salva la configurazione di controllo
Una volta create le regole personalizzate, salva il file audit.rules premendo il tasto Esc seguito da ":wq" per salvare e uscire da vi.
6. Riavvia il demone di controllo
Affinché le nuove regole di controllo di audit abbiano effetto, è necessario riavviare il servizio auditd:
```
sudo servizio auditd riavviare
```
7. Verificare le regole di controllo di audit
Puoi verificare che le regole di controllo di audit siano state implementate con successo utilizzando il comando ausearch:
```
ausearch -k pass_access
```
Questo comando visualizzerà tutti gli eventi registrati in base alla chiave "pass_access" specificata nella regola personalizzata.
Conclusione
Le regole di controllo di audit in Rocky Linux 8 forniscono agli amministratori di sistema un controllo granulare sulla registrazione degli eventi relativi alla sicurezza. Elaborando e implementando attentamente queste regole, è possibile ottenere un livello più elevato di sicurezza e conformità del sistema. Ricorda, considera sempre i requisiti specifici del tuo sistema e consulta la documentazione ufficiale di Rocky Linux per qualsiasi informazione aggiuntiva o scenari di utilizzo avanzato.
sistemi © www.354353.com