Linux Audit
Linux 감사 시스템은 시스템 호출을 가로채고 권한이 있는 사용자 공간 애플리케이션의 감사 로그 항목을 직렬화하여 Linux가 공통 기준, PCI-DSS 및 기타 보안 표준의 요구 사항을 준수하도록 설계되었습니다. 이 프레임워크를 사용하면 구성된 이벤트를 디스크에 기록하고 플러그인에 실시간으로 배포할 수 있습니다. 각 감사 이벤트에는 이벤트 날짜 및 시간, 이벤트 유형, 주체 신원, 조치를 취한 대상, 해당되는 경우 조치 결과(성공/실패)가 포함됩니다.
런타임 종속성
- coreutils
- initscripts-service(권장)
- kernel >= 5.0
- systemd
빌드 타임 종속성 (tar 배포판용)
- gcc (또는 clang)
- make
- kernel-headers >= 5.0
- systemd
추가 빌드 종속성 (github 소스를 사용하는 경우)
- autoconf
- automake
- libtool
선택적 의존성
- libcap-ng-devel
- krb5-devel (원격 로깅)
- python3-devel(파이썬 바인딩)
- swig(파이썬 바인딩)
- openldap-devel(zos-원격 로깅)
- golang(golang 바인딩)
지원 아키텍처
- AARCH64
- ARM(일부 버전)
- PPC 및 PPCLE
- S390 및 S390X
- x86_64 및 i386
다음과 같이 패키지 빌드 진행.
./configure --prefix=/usr --disable-static --sysconfdir=/etc \
--docdir=/usr/share/doc/audit-userspace-4.0.1 \
---disable-zos-remote --without-python3 &&
make
root 유저로 패키지 설치
make install
root 유저로 필요한 디렉토리 생성
mkdir -pv /etc/audit/rules.d &&
mkdir -pv /var/log/audit
mkdir -pv /usr/share/doc/audit-4.0.1/rules
원격 로깅을 사용 한다면
mkdir -pv /var/spool/audit
감사 규칙 예제를 복사합니다.
install -vm644 docs/* /usr/share/doc/audit-4.0.1/rules
root 유저로 systemd service 등록 및 실행
systemctl enable auditd
systemctl start auditd