Logdaten zentral und sicher speichern

Das "Linux Auditing System" [1] ist ein mächtiges Framework für das Auditieren sicherheitsrelevanter Ereignisse auf Linux-Systemen. Im Kernel stellt das Framework an verschiedensten Stellen "Hooks" zur Verfügung. Diese haben die Aufgabe, eine Vielzahl möglicher Events zu überwachen und entsprechende Aktivitäten zur Aufzeichnung an den audit-Service im Userspace weiterzuleiten. Welche Ereignisse überwacht werden sollen, regelt die Datei "/etc/audit/audit.rules". Dynamische Regeln nimmt der Service über das Werkzeug "auditctl" entgegen.

Steuerung von auditd

Zur Abfrage der von auditd geschriebenen Logdatei kommt entweder das Tool "ausearch" oder "aureport" zum Einsatz. In der Datei "/etc/audit/auditd.conf" definieren Sie genaue Einstellungen für die Protokollierung. Dazu gehört beispielsweise, wie sich der Dienst verhalten soll, wenn auf der Festplatte kein Platz mehr für das Speichern zusätzlicher Audit-Ereignisse vorhanden ist. Der Dienst kann bei Bedarf sogar das ganze System herunterfahren, um zu verhindern, dass Events, die eigentlich auditiert werden sollen, durchgeführt werden, ohne dass hierfür ein Eintrag im Log hinterlegt wird.

Der audit-Service bietet die Möglichkeit, Audit-Logs an einem zentralen Ort zu speichern, bei der Übertragung die Daten zu verschlüsseln und die Gegenseite, wo die Daten schließlich abgelegt werden sollen, zu authentifizieren. Dies ist eine übliche Anforderung der meisten "Technical Implementation Guides", wie beispielsweise auch dem STIG für Red Hat Enterprise Linux 7 [2]. Diese Funktion wird durch einen sogenannten "audit-Dispatcher" zur Verfügung gestellt. Mit Hilfe diverser Plug-ins nimmt dieser die vorhandenen Audit-Meldungen entgegen und verarbeitet diese entsprechend weiter. Das Paket "audispd-plug-ins" stellt hierfür bereits eine

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.