在Ubuntu From Scratch (UFS) 中进行安全审计,可以遵循以下步骤和建议:
选择合适的发行版:
内核配置:
kernel.kptr_restrict
和 kernel.dmesg_restrict
,以减少内核指针泄露和内核日志信息泄露的风险。最小化安装:
更新和维护:
使用防火墙:
禁用 root 登录:
使用强密码策略:
限制 sudo 权限:
配置安全审计:
安装和配置 auditd:
sudo apt install auditd audispd-plugins linux-audit
sudo systemctl start auditd
和 sudo systemctl enable auditd
/etc/audit/auditd.conf
文件,根据需要添加或修改规则。/etc/audit/rules.d/audit.rules
,并添加规则。sudo auditctl -R /etc/audit/rules.d/audit.rules
监控和查看审计日志:
ausearch
命令查看实时审计日志:sudo ausearch -m avc -ts recent
auditcat
命令查看审计日志文件:sudo auditcat /var/log/audit/audit.log
以下是一个简单的配置示例,展示了如何在 Ubuntu From Scratch 中设置基本的系统安全审计功能:
安装必要的工具和软件包:
sudo apt update
sudo apt install auditd audispd-plugins linux-audit
配置 Auditd 服务:
sudo systemctl start auditd
sudo systemctl enable auditd
编辑审计配置文件:
sudo nano /etc/audit/auditd.conf
修改以下参数:
audit_log_file
:指定审计日志文件的路径,例如 /var/log/audit/audit.log
audit_log_format
:指定审计日志的格式,例如 rawaudit
audit_rotate_size
:指定审计日志文件的最大大小,例如 10485760
audit_rotate_count
:指定审计日志文件保留的数量,例如 7
创建自定义审计规则:
sudo nano /etc/audit/rules.d/audit.rules
添加以下规则:
-a exit,always -F arch=b32 -S execve -S execveat -k executed-process-a
-a exit,always -F arch=b64 -S execve -S execveat -k executed-process-a
加载自定义审计规则:
sudo auditctl -R /etc/audit/rules.d/audit.rules
查看审计日志:
sudo ausearch -m avc -ts recent
sudo ausearch -m avc -ts recent -i
通过上述步骤,你可以在 Ubuntu From Scratch 中设置一个基本的安全审计框架。根据具体需求,可能还需要进行更多的定制和优化。
总之,在进行安全审计时,务必谨慎操作,并确保对系统的安全配置有充分的理解。