Auditd è stato consigliato in una risposta a Linux command logging?
L'installazione predefinita su Ubuntu sembra quasi non registrare nulla. Esistono diversi esempi (capp.rules, nispom.rules, stig.rules), ma non è chiaro quale sarebbe l'impatto sulle prestazioni di ciascuno, né quale tipo di ambiente o ipotesi sarebbero più adatti per ciascuno.
Quale sarebbe il miglior punto di partenza per la distribuzione di auditd su, diciamo, un server web? Ciò include un file audit.rules, le impostazioni per consentire l'invio del flusso del log di controllo a una macchina remota in tempo reale e il più semplice degli strumenti per vedere cosa è stato registrato.
Quindi, che ne dici di un tipico computer desktop?
Aggiornamento : dannysauer nota che per sicurezza è importante iniziare con l'obiettivo e sono d'accordo. Ma il mio intento principale è quello di dare alcune utili spiegazioni sull'uso di questo strumento, e vedere un esempio funzionante di esso in azione, insieme con le implicazioni di prestazioni e archiviazione, ecc. Se questo esiste già e io lo mancate, per favore indicatelo. In caso contrario, sto suggerendo di creare un esempio per uno degli scenari più comuni (ad esempio un semplice web server, che gestisce il tuo stack di scelta), in cui l'obiettivo potrebbe essere quello di preservare le informazioni in caso di intrusione per aiutare rintracciare per scoprire dove è iniziata la penetrazione. Se esiste un obiettivo più adatto o raggiungibile da utilizzare, ad es. una piccola azienda senza un significativo personale IT, che sarebbe di aiuto anche.