FreeBSD Audit Altyapisi

cin.jpg

Isletim sistemleri kullanildiklari yerlere gore cesitli ozelliklerin olmasi beklenir. Mesela cok kullanicili ve kritik oneme sahip sistemlerde kimin ne yaptigini izleyebilmek sistemin guvenligi ve kararliligi acisindan yuksek oneme sahiptir.

Ayni zamanda sistemde geriye yonelik yapilan arastirmalarda(Forensic )anahtar niteliginde yardimci olur. Kullanicilarin ne yaptigindan kasit; sisteme giris/cikis bilgileri, isletim sistemi uzerinde calistirdiklari komutlar, degisen/duzenlenen dosyalar.

Ticari Linux/UNIX sistemlerin cogu uzun zamandir bu tip audit altyapisina sahipler. Kisisel tecrubelerime dayanarak Sun Solaris’in audit altyapisinin diger sistemlere oranla daha kullanisli, esnek ve saglam oldugunu soyleyebilirim.

Ag ve sunucu uygulamalarinda kullanimi her gecen gun artan FreeBSD isletim sistemi gelistiricileri de bu eksikligi gormus olmalilar ki 6.2 surumu ile birlikte oldukca saglam bir audit altyapisi gelistirmisler. (Son tarafindan yayinlanan BSM Apisini kullanarak)

Tum audit yapilandirmasi /etc/security dizini altindaki audit_* formatindaki dosyalarla yapiliyor. Mesela audit_user dosyasi hangi kullanicinin ne sekilde audit’e tabi tutulacagini belirtir.

root:lo,+ex:no
www:fc,+ex:no

gibi.

Audit loglari BSM audit formatindadir(binary). Loglari izlemek icin praudit komutu ile anlasilabilir text formatina cevrilebilir ve syslog vs ile uzak sistemlere arsivleme amaci ile gonderilebilir. Audit logu çıktısı karışık gibi görünsede birkaç grep, awk komutu ile istediğiniz şekilde anlaşılabilir formata dönüştürebilirsiniz.

#praudit /var/audit/AUDITFILE
header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
exec arg,finger,doug
path,/usr/bin/finger
attribute,555,root,wheel,90,24918,104944
subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
return,success


FreeBSD sistemlerde audity altyapisini aktif etmek ve kullanmak icin http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/audit.html adresinden faydalanabilirsiniz.

This entry was posted in FreeBSD. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

14 + six =