- 40 理解 Linux 审计
此版本的 openSUSE Leap 提供的 Linux audit 框架是一个符合 CAPP(受控访问保护配置文件)标准的审计系统,可以可靠地收集任何与安全相关事件的信息。可以检查审计记录,以确定是否违反了安全策略,以及由谁违反的。
提供审计框架是 CC-CAPP/EAL(通用标准-受控访问保护配置文件/评估保证级别)认证的重要要求。通用标准 (CC) for Information Technology Security Information 是独立安全评估的国际标准。通用标准有助于客户判断他们打算在关键任务设置中部署的任何 IT 产品的安全级别。
通用标准的安全性评估具有两组评估要求:功能要求和保证要求。功能要求描述了被评估产品的安全属性,并总结在受控访问保护配置文件 (CAPP) 下。保证要求总结在评估保证级别 (EAL) 下。EAL 描述了评估人员为了确信安全属性存在、有效且已实施而必须进行的所有活动。此类活动的示例包括记录开发人员寻找安全漏洞的过程、补丁过程和测试。
本指南提供了关于 audit 工作原理及其设置方式的基本理解。有关通用标准本身的更多信息,请参阅 通用标准网站。
- 41 设置 Linux 审计框架
本章展示了如何设置一个简单的审计场景。配置和启用审计的每个步骤都将详细解释。学习了如何设置审计后,请考虑在第 42 章,介绍审计规则集中,一个实际的示例场景。
- 42 介绍审计规则集
以下示例配置说明了如何使用审计来监控您的系统。它重点介绍了需要审计的最重要项目,以涵盖受控访问保护配置文件 (CAPP) 指定的可审计事件列表。
- 43 有用的资源
还有其他资源包含有关 Linux 审计框架的宝贵信息