Revisionskontrolregler er en vital komponent i Linux-sikkerhedsrammen. Regler for revisionskontrol styres af auditd konfigurationsværktøjer såsom auditctl og ausearch og giver systemadministratorer mulighed for at specificere, hvornår og hvilke sikkerhedsrelevante hændelser, der logges.

Nedenfor er en trin-for-trin guide til at definere revisionskontrolregler i Rocky Linux 8:

1. Åbn revisionskonfigurationsfilen

For at få adgang til og ændre revisionskontrolregler skal du åbne revisionskonfigurationsfilen. Dette kan opnås ved hjælp af en teksteditor med root-rettigheder. I dette eksempel bruger vi vi-teksteditoren:

```

sudo vi /etc/audit/audit.rules

```

2. Forstå syntaksen for revisionskontrolregler

Inde i filen audit.rules vil du støde på regler udtrykt i et bestemt format. Hver regel består af tre hovedkomponenter:

a) Handling:Dette angiver, hvilken handling der skal udføres, når en regel matcher. De to almindelige handlinger er "tillad" og "afvis".

b) Feltspecifikation:Dette bestemmer, hvilket aspekt af begivenheden, der matches mod reglen. F.eks. matcher feltspecifikationen "comm" med procesnavnet, mens "key" matcher med den specifikke nøgle.

c) Værdispecifikation:Dette er den værdi, der vil blive matchet mod, når en hændelse indtræffer. Det kan være en enkelt værdi eller et regulært udtryk.

3. Skrivning af en revisionskontrolregel

Med kendskab til syntaksen for revisionskontrolreglerne kan du oprette en ny regel. Lad os som et eksempel oprette en regel, der logger alle forsøg på at få adgang til filen "/etc/passwd":

```

-w /etc/passwd -p wa -k pass_access

```

4. Forklaring af den brugerdefinerede regel:

-w: Denne specifikation matcher filovervågningsbegivenheder, især ethvert forsøg på at skrive eller ændre filen.

-p: Denne specifier fokuserer på tilladelsen og er sat til "wa", hvilket indikerer skriveadgangsforsøg.

-k: Denne specifikation sætter nøglen for reglen til "pass_access", hvilket gør det muligt for os nemt at søge efter hændelser relateret til denne specifikke regel.

5. Gem revisionskonfigurationen

Når du har oprettet dine brugerdefinerede regler, skal du gemme filen audit.rules ved at trykke på Esc-tasten efterfulgt af ":wq" for at gemme og afslutte vi.

6. Genstart Audit Daemon

For at de nye revisionskontrolregler kan træde i kraft, skal du genstarte den reviderede tjeneste:

```

sudo service revideret genstart

```

7. Bekræft revisionskontrolreglerne

Du kan verificere, at revisionskontrolreglerne blev implementeret med succes ved at bruge ausearch-kommandoen:

```

ausearch -k pass_access

```

Denne kommando viser alle hændelser, der blev logget i henhold til "pass_access"-nøglen, du har angivet i din tilpassede regel.

Konklusion

Revisionskontrolregler i Rocky Linux 8 giver systemadministratorer detaljeret kontrol over sikkerhedsrelateret hændelseslogning. Ved omhyggeligt at udforme og implementere disse regler kan du opnå et højere niveau af systemsikkerhed og compliance. Husk altid at overveje de specifikke krav til dit system og konsultere den officielle Rocky Linux-dokumentation for yderligere information eller avancerede brugsscenarier.