Siguiente: AIX
Subir: Algunas mejoras de la
Anterior: Secure Linux
Índice General
El demonio auditd permite al administrador de un sistema Linux recibir
la información de auditoría de seguridad que el núcleo genera, a
través del fichero /proc/audit, filtrarla y almacenarla en ficheros.
Esta información tiene el siguiente formato:
AUDIT_CONNECT pid ruid shost sport dhost dport
Conexión desde la máquina al host remoto dhost.
AUDIT_ACCEPT pid ruid shost sport dhost dport
Conexión desde el host remoto dhost a la máquina.
AUDIT_LISTEN pid ruid shost sport
El puerto indicado está esperando peticiones de servicio.
AUDIT_OPEN pid ruid file
Se ha abierto el fichero file.
AUDIT_SETUID pid old_ruid ruid euid
Se ha llamado con éxito a setuid(), modificando el UID de ruid a euid.
AUDIT_EXEC pid ruid file
Se ha ejecutado el fichero file.
AUDIT_MODINIT pid ruid file
Se ha insertado en el kernel el módulo file.
Al leer la información de /proc/audit, el demonio auditd lee las
reglas de filtrado del fichero /etc/security/audit.conf, comparando los
flags, PID y RUID (Real User IDentifier) recibidos con
cada una de las reglas del archivo de configuración hasta encontrar la
apropiada para tratar el evento. Una vez que el demonio auditd ha
encontrado el fichero donde almacenar la información recibida, la guarda
en él con un formato legible.
Siguiente: AIX
Subir: Algunas mejoras de la
Anterior: Secure Linux
Índice General
2003-08-08