« Access Listlere yorum ekleme(cisco) | Home | TTNet ADSL hizmeti ve DNS Tunelleme »
FreeBSD Audit Altyapisi
By Huzeyfe ONAL | January 7, 2008
Isletim sistemleri kullanildiklari yerlere gore cesitli ozelliklerin olmasi beklenir. Mesela cok kullanicili ve kritik oneme sahip sistemlerde kimin ne yaptigini izleyebilmek sistemin guvenligi ve kararliligi acisindan yuksek oneme sahiptir.
Ayni zamanda sistemde geriye yonelik yapilan arastirmalarda(Forensic )anahtar niteliginde yardimci olur. Kullanicilarin ne yaptigindan kasit; sisteme giris/cikis bilgileri, isletim sistemi uzerinde calistirdiklari komutlar, degisen/duzenlenen dosyalar.
Ticari Linux/UNIX sistemlerin cogu uzun zamandir bu tip audit altyapisina sahipler. Kisisel tecrubelerime dayanarak Sun Solaris’in audit altyapisinin diger sistemlere oranla daha kullanisli, esnek ve saglam oldugunu soyleyebilirim.
Ag ve sunucu uygulamalarinda kullanimi her gecen gun artan FreeBSD isletim sistemi gelistiricileri de bu eksikligi gormus olmalilar ki 6.2 surumu ile birlikte oldukca saglam bir audit altyapisi gelistirmisler. (Son tarafindan yayinlanan BSM Apisini kullanarak)
Tum audit yapilandirmasi /etc/security dizini altindaki audit_* formatindaki dosyalarla yapiliyor. Mesela audit_user dosyasi hangi kullanicinin ne sekilde audit’e tabi tutulacagini belirtir.
root:lo,+ex:no www:fc,+ex:no
gibi.
Audit loglari BSM audit formatindadir(binary). Loglari izlemek icin praudit komutu ile anlasilabilir text formatina cevrilebilir ve syslog vs ile uzak sistemlere arsivleme amaci ile gonderilebilir. Audit logu çıktısı karışık gibi görünsede birkaç grep, awk komutu ile istediğiniz şekilde anlaşılabilir formata dönüştürebilirsiniz.
#praudit /var/audit/AUDITFILEheader,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,doug path,/usr/bin/finger attribute,555,root,wheel,90,24918,104944 subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100 return,success
FreeBSD sistemlerde audity altyapisini aktif etmek ve kullanmak icin http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/audit.html adresinden faydalanabilirsiniz.
Topics: FreeBSD |