FreeBSDでauditdを使うためのまとめ

FreeBSDの6.2からaudit/auditdが追加されました。

auditd(8)は、audit log management daemonのことです。
つまり、監査ログ管理デーモンです。

auditdデーモンは、audit(1)ユーティリティからの要求や
カーネルからの通知に対応します。
監査ログファイルの結果や指定されたログファイルの場所を管理します。

auditdを使うためには、

• kernelでAUDITを有効にする
• auditdをスタートする ことが必要です。

/sys/i386/confのカーネルコンフィグレーションファイルに以下の行を
追加し、カーネルをリコンパイルします。

options AUDIT

カーネルの再構築とインストール

sudo config KERNCONF
cd ../compile/KERNCONF
sudo make depend
sudo make
sudo make install

auditdを起動時にスタートするために、/etc/rc.confに以下の設定を追加します。

/etc/rc.conf

auditd_enable="YES"

カーネルのリコンパイルとインストール、rc.confの設定ができたら
再起動します。

auditdの設定は、 /etc/security/audit_control にします。

デフォルトの設定

dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0

auditdのログは、デフォルトで /var/audit ディレクトリに置かれます。

ログは、そのままだと人間には読みにくいので、
praudit(8)コマンドを使います。

prauditでログを見る例。

% praudit /var/audit/20070603233618.not_terminated
header,93,10,audit startup,0,Mon Jun  4 08:36:18 2007, + 235 msec
subject,root,root,wheel,root,wheel,389,389,0,0.0.0.0
text,auditd::Audit startup
return,success,0
trailer,93
header,97,10,su(1),0,Mon Jun  4 08:36:25 2007, + 272 msec
subject,-1,root,wheel,root,wheel,490,490,0,0.0.0.0
text,successful authentication
return,success,0
trailer,97
header,95,10,OpenSSH login,0,Mon Jun  4 08:37:28 2007, + 651 msec
subject,kaworu,kaworu,kaworu,kaworu,kaworu,623,623,1228,192.168.0.20
text,successful login kaworu
return,success,0
trailer,95
header,97,10,su(1),0,Mon Jun  4 08:37:35 2007, + 351 msec
subject,kaworu,root,kaworu,kaworu,kaworu,630,630,1228,192.168.0.20
text,successful authentication
return,success,0
trailer,97

FreeBSD audit のドキュメント
セキュリティイベント監査
Security Event Auditing
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/audit.html

---