LINUX操作系统安全加固作业指导书(征求意见稿).doc

Q/ZD浙 江 省 电 力 公 司 企 业 标 准 编号：Q/LINUX操作系统安全加固作业指导书2009-12-28 发布 2010-01-01 实施浙江省电力公司 发布前 言为进一步规范浙江省电力公司LINUX操作系统安全加固作业，提高作业质量，促进操作系统安全加固标准化作业，确保业务系统的安全、可靠运行，特制订浙江省电力公司LINUX操作系统安全加固作业指导书。本作业指导书可作为浙江省电力公司信息专业岗位培训内容和LINUX操作系统加固工作要求。本作业指导书由浙江省电力公司科技信息部归口。本作业指导书由浙江省电力公司信息技术中心、绍兴电力局提出并起草。本作业指导书主要起草人：胡利辉、裴旭斌本作业指导书由浙江省电力公司信息技术中心负责解释。目 录1.适用范围42.引用标准43.作业准备53.1准备工作53.2工器具63.3危险点分析及预控措施64.工作流程图84.1总图84.2加固流程95.作业程序及作业标准106.记录及报告14LINUX操作系统安全加固作业指导书1. 适用范围本作业指导书适用于浙江省电力公司Centos操作系统加固工作。2. 引用标准下列标准及技术资料所包含的条文，通过在本作业指导书中的引用，而构成为本作业指导书的条文。本作业指导书出版时，所有版本均为有效。所有标准及技术资料都会被修订，使用本作业指导书的各方应探讨使用下列标准及技术资料最新版本的可能性。国家电网公司电力安全工作规程2009版。国家电网生2004503号国家电网公司现场标准化作业指导书编制导则（试行）信息运安200860号 国家电网公司信息安全加固实施指南（试行）信息运安200944号 国家电网公司SG186工程信息系统安全等级保护验收标准（试行）浙电科信字200965号浙江省电力公司信息系统工作票、操作票使用管理办法（试行）3. 作业准备3.1 准备工作序号内容标准责任人1核实操作系统安全加固实施确认单明确作业对象及内容，确认加固对象及脆弱点2加固测试关键业务系统的信息安全加固应搭建测试模拟环境，仿运行业务系统的结构、配置、数据、业务流程，在模拟环境进行信息安全加固确认后，再进行运行业务系统的信息安全加固。3加固分险分析、应急预案制定及系统备份信息安全加固实施前，应对信息安全加固中可能遇到的实施风险进行分析，制定应急恢复预案，采取有效的备份措施4被加固服务器所承载服务已经停止与应用管理员协商，停止被加固服务器所承载服务5填写、核实工作票、操作票根据浙江省电力公司信息系统工作票、操作票使用管理办法（试行）要求，填写工作票、操作票，并经相关责任人、签发人书面认可3.2 工器具序号名称规格/编号 单位数量备注1安装Nessus扫描软件计算机Nessus扫描软件更新至最新版本台13.3 危险点分析及预控措施序号危险点防范措施1违反信息安全加固规范性原则LINUX系统安全加固的方案设计与实施应依据国家或公司的相关标准进行；2违反信息安全加固可控性原则LINUX系统安全加固工作应该做到人员可控、工具可控、项目过程可控；严格执行“两票”制，严禁执行两票规定范围以外的操作3违反信息安全加固最小影响原则LINUX系统安全加固工作应尽可能小地影响系统的正常运行，不得对运行中的业务系统产生较大影响；4违反信息安全加固保密原则对加固的过程数据和结果数据严格保密，不得泄露给任何第三方单位或个人，不得利用此数据进行任何侵害国家电网公司信息系统的行为。5开启操作系统审计功能导致系统性能下降，日志文件增长过快仔细分析被加固系统审计的需求，合理开启审计功能，并在功能开启后密切关注系统性能及日志增长情况，发现问题及时处理4. 工作流程图4.1 总图4.2加固流程5. 作业程序及作业标准加固开始，确认准备工作完成1核实信息安全加固实施确认单明确作业对象及内容，确认加固对象及脆弱点确认作业对象及内容2加固测试关键业务系统的信息安全加固应搭建测试模拟环境，仿运行业务系统的结构、配置、数据、业务流程，在模拟环境进行信息安全加固确认后，再进行运行业务系统的信息安全加固测试前确认登录的机器，防止登录错误3加固分险分析、应急预案制定及系统备份信息安全加固实施前，应对信息安全加固中可能遇到的实施风险进行分析，制定应急恢复预案，采取有效的备份措施4被加固服务器所承载服务已经停止与数据库管理员，应用管理员协商，停止被加固服务器所承载服务停止服务前确认业务数据备份完毕5填写、核实工作票、操作票根据浙江省电力公司信息系统工作票、操作票使用管理办法（试行）要求，填写工作票、操作票，并经相关责任人、签发人书面认可确定工作票、操作票已由具备相应签发权限的人员签发6获得机房值班人员的许可机房值班人员许可工作票后，开始工作确认系统运行状态7对被加固系统进行一般性巡检查看被加固对象文件系统使用情况，负载情况，网络通信情况，系统基本日志系统有严重的硬件或软件故障时停止加固安装介质上传服务器8将加固中需要安装的软件上传服务器对已经安装了ssh服务的服务器可以采用ssh文件传输上传文件，其它情况将软件安装介质刻录为光盘，通过光驱上传。对于没有配置光驱的服务器，可以已ftp方式（ftp客户端）从ftp服务器上获取。上传到被加固服务器的软件应该防止在专用的文件系统下。安装介质应该是可信的并经过测试安装、配置软件9安装软件严格按照软件安装说明进行软件安装有些软件需要ACCEPT LICENSE10配置软件根据软件配置说明，遵照最小配置原则进行软件配置，11软件功能测试按功能项，对软件功能进行严格测试测试不通过，涉及到该软件的加固暂停加固操作12按照信息安全加固实施确认单及工作票的内容，进行系统安全加固安全加固参照附录D：LINUX类操作系统安全加固参考手册进行。具体的系统在实际加固中需要针对各自特点进行一定的修改，总体原则是系统实际安全性不应低于参考手册的要求加固验证13对各加固项目进行实际效果验证针对每一个加固项目，采用不同的数据、方式测试，要特别关注一些异常情况下的系统适应能力。加固一个项目后需要马上进行测试，如测试不通过需要分析原因，修改配置后再测试。如果始终测试不通过，需要回退到原来状态后才可进行下一个项目的加固对测试未通过的加固项目，转移到测试环境进行进一步分析、测试，获得解决办法后再到生产环境加固。检查系统运行状态14对加固后系统进行一般性巡检查看被加固对象文件系统使用情况，负载情况，网络通信情况，系统基本日志，确认系统安全可靠，所承载的服务具备启动条件。15启动被加固服务器所承载服务并记录运行情况通知数据库管理员，应用管理员启动被加固服务器所承载服务,并填写信息安全加固后运行情况核查记录单，系统恢复正常运行。数据整理、加固结束16工作结束后，清理服务器上的临时文件，恢复临时配置修改现场加固结束后，要清理系统中的过程数据、文件、程序、脚本等，确保系统中不遗留任何代码或可执行程序，信息安全加固各相关单位不得在任何宣传材料中涉及被加固系统的秘密、敏感信息。17退出系统，通知机房值班人员，办理工作票终结手续加固结束，工作票，操作票终结并填写操作系统安全加固作业记录6. 记录及报告操作系统安全加固实施确认单见附录A，操作系统安全加固作业记录见附录B，信息安全加固后运行情况核查记录单见附件C，LINUX类操作系统安全加固参考手册见附件D。-36 -附录A（规范性附录）操作系统安全加固实施确认单加固对象服务器名称：IP地址：业务系统：服务器当前状态：作业内容及危险点列表序号作业内容危险点危险等级123456实施风险分析：实施确认实施方案及预案：操作系统管理员签字：工作票签发人签字：附录B（规范性附录）操作系统安全加固作业记录作业编号： 作业日期： 年 月 日作业名称：作业地点：序号加固项目完成情况123456作业记录作业开始时间： 年 月 日 时 分 秒 作业结束时间： 年 月 日 时 分 秒操作系统配置变更记录：问题及建议工作负责人：工作人员：附录C信息安全加固后运行情况核查记录单作业编号： 作业日期： 年 月 日运行是否正常是_ 否_业务访问是否正常是_ 否_备注验证人签字附录DLINUX类操作系统安全加固参考手册目录第一章 加固基本原则及约定21第二章 CentOS操作系统安全加固212.1帐号权限加固212.2网络服务加固242.3数据访问控制加固252.4网络访问控制272.5口令策略加固292.6用户鉴别加固302.7审计策略加固312.8.漏洞加固39第一章 加固基本原则及约定本加固手册根据信息运安200860号国家电网公司信息安全加固实施指南（试行）的加固原则及要求制定，是对其加固方法与内容的细化。并参考了信息运安200944号国家电网公司SG186工程信息系统安全等级保护验收标准（试行）。在以上两份文件进行修改时，使用本手册的各方应探讨修改本手册以适应其要求。第二章 CentOS操作系统安全加固2.1帐号权限加固 对操作系统用户、用户组进行权限设置，应用系统用户和系统普通用户权限的定义遵循最小权限原则，删除系统多余用户，避免使用弱口令。1、合理配置应用帐号或用户自建帐号权限，为不同的管理员分配不同的账号。 先决条件：与系统管理员，应用管理员详细沟通，确认该操作系统必须使用的帐号并确定其帐号名称，权限；确定帐号列表。 实施步骤：序号工作内容举例备注1为用户创建账号#useradd username#passwd username密码复杂度应符合密码策略的要求2列出用户属性#id username3更改用户属性# usermod L username也可通过修改/etc/passwd及/etc/shadow配置文件来更改 实施风险：高2、删除系统中多余的自建帐号 先决条件：与系统管理员，应用管理员详细沟通，确认该操作系统可以删除的无用帐号，列出可删除帐号列表。 实施步骤：序号工作内容举例备注1删除帐户在/etc/passwd中该行前用”#”注释#userdel username如adm，lp，sync，shutdown，halt，news，uucp，operator，games，gopher等，建议用注释的办法禁用。 实施风险：高3、修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求，为空口令用户设置密码。 先决条件：查看/etc/passwd文件及/etc/shadow文件，确定是否有空口令用户存在。 实施步骤：序号工作内容举例备注1查看/etc/passwd文件及/etc/shadow文件#more /etc/passwdgdm:x:42:42:/var/gdm:/sbin/nologinmysql:x:500:500:mysql:/home/mysql:/bin/bashoracle:x:501:501:/home/oracle:/bin/bash#more /etc/shadowgdm:$1$6ZT5F4j6$oA8pInnUSKJ5Rh7oknbYZ/:14642:0:99999:7:mysql:$1$z14NwH6J$vTJ5NsAzG3OsqCgQaVhgX1:14641:0:99999:7:oracle:!:14642:0:99999:7:/etc/passwd文件中最后一个字段非”/sbin/nologin”,而/etc/shadow中第二个字段为”!”的用户为空口令用户2记录空口令用户帐号oracle3给空口令用户设置密码#passwd oracle密码复杂度应符合密码策略的要求 实施风险：低4、禁用或删除非root的超级用户 先决条件：查看/etc/passwd文件，确定是否有非root的超级用户存在。 实施步骤：序号工作内容举例备注1查看/etc/passwd文件# more /etc/passwdgdm:x:42:42:/var/gdm:/sbin/nologinmysql:x:0:500:mysql:/home/mysql:/bin/bashoracle:x:501:501:/home/oracle:/bin/bash2记录非root的超级用户帐号mysql非root用户的gid为03禁用或删除非root的超级用户在/etc/passwd中该行前用”#”注释#userdel username#usermod L username建议用注释的办法禁用。 实施风险：低5、禁止系统伪帐户登录 实施步骤：序号工作内容举例备注1查看/etc/passwd文件# more /etc/passwdgdm:x:42:42:/var/gdm:/sbin/nologinmysql:x:501:500:mysql:/home/mysql:/bin/bashoracle:x:501:501:/home/oracle:/bin/bash2记录伪帐号mysql登录名不同，uid相同3禁用或删除非伪用户在/etc/passwd中该行前用”#”注释#userdel username#usermod L username建议用注释的办法禁用。 实施风险：低6、限制能够su为root的用户 先决条件：确认哪些用户允许su到root。 实施步骤：序号工作内容举例备注1修改/etc/pam.d/su配置文件#vi /etc/pam.d/su 在auth required pam_wheel.so use_uid前用”#”注释打开配置文件找到这句话在第六行将其前面的#注释掉2修改/etc/login.defs配置文件# echo SU_WHEEL_ONLY yes /etc/login.defs在/etc/login.defs文件最后添加SU_WHEEL_ONLY yes3将允许su到root的所有用户添加到wheel组中# usermod -G10 oracleoracle为允许su为root的用户 实施风险：较高2.2网络服务加固 关闭系统中不安全的服务，确保操作系统只开启承载业务所必需的网络服务和网络端口。1、在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务 先决条件：管理员需提供系统实际需要的服务列表，将该列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用。 实施步骤：序号工作内容举例备注1查看系统服务启动情况# chkconfig -listNetworkManager 0:off 1:off 2:off 3:off 4:off 5:off 6:offacpid 0:off 1:off 2:on 3:on 4:on 5:on 6:offanacron 0:off 1:off 2:on 3:on 4:on 5:on 6:offapmd 0:off 1:off 2:on 3:on 4:on 5:on 6:offatd 0:off 1:off 2:off 3:on 4:on 5:on 6:offauditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off1到6表示linux启动级别，默认启动级别为32关闭不需要的服务# chkconfig -level 3 acpid off# chkconfig acpid off建议保留atdcrondirqbalancemicrocode_ctlnetworksshdsyslog服务，其他服务如果没有特殊要求均可先关闭，有需求时再打开，不指定level时会对所有基本生效 实施风险：高2.3数据访问控制加固合理设置系统中重要文件的访问权限只授予必要的用户必需的访问权限。1、配置系统重要文件的访问控制策略，严格限制访问权限（如读、写、执行），避免被普通用户修改和删除 实施步骤：序号工作内容举例备注1查看文件访问权限# ls -l /etc/passwd-rw-r-r- 1 root root 1705 Feb 2 19:48 /etc/passwd# ls -l /etc/shadow-r- 1 root root 1212 Feb 2 19:48 /etc/shadow# ls -l /etc/group-rw-r-r- 1 root root 686 Feb 2 16:23 /etc/group# ls -l /etc/gshadow-r- 1 root root 565 Feb 2 16:23 /etc/gshadowls l filename2设置重要文件的权限，不允许任何人修改#chattr +i /etc/passwd#chattr +i /etc/shadow#chattr +i /etc/group#chattr +i /etc/gshadow设置后包括root在内的所有用户均不能修改，所以都无法更改密码也无法新建用户，建议在特殊情况下使用，可以用#chattr -i 命令解除3修改重要文件或目录的访问权限#chmod-R700/etc/rc.d/init.d/*/usr/bin、/bin、/sbin目录为可执行文件目录，/etc目录为系统配置目录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。 实施风险：高2、设置合理的初始文件权限 实施步骤：序号工作内容举例备注1查看系统umask值more /etc/bashrcif $UID -gt 99 & id -gn = id -un ; then umask 022else umask 022fi2将umask值修改为027vi /etc/bashrcif $UID -gt 99 & id -gn = id -un ; then umask 027else umask 027fiu m a s k是从权限中“拿走”相应的位。下表是umask值与权限的对照表： umask 文件 目录 - 0 6 7 1 6 6 2 4 5 3 4 4 4 2 3 5 2 2 6 0 1 7 0 0 - 如：umask值为022，则默认目录权限为755，默认文件权限为644 实施风险：中2.4网络访问控制加固远程控制有安全机制保证，限制能够访问本机的用户或IP地址。1、关闭多余的远程管理方式 先决条件：确认多余的远程管理模式。 实施步骤：序号工作内容举例备注1关闭telnet服务# rpm -qa |grep telnettelnet-0.17-39.el5telnet-server-0.17-39.el5建议关闭telnet服务，使用加密的ssh服务2删除telnet服务包# rpm -e telnet-server 实施风险：高2、使用安全的远程管理方式 先决条件：CentOS默认安装时已经安装ssh，如果没有安装需要安装介质。 实施步骤：序号工作内容举例备注1确认已经安装ssh包# rpm -qa |grep sshopenssh-clients-4.3p2-36.el5openssh-askpass-4.3p2-36.el5openssh-4.3p2-36.el5openssh-server-4.3p2-36.el5如果未安装请用rpm ivr 安装2修改相关配置vi /etc/ssh/sshd_config找到#Protocol 2,1将“#”删除，再将行末的“,1”删除；找到#PermitEmptyPasswords no将“#” 删除找到#Port 22将“#” 删除并将22改为50000只允许SSH2方式的连接，不允许空密码登录，改变ssh的服务端口为50000（端口号可以根据实际需要修改）3#setup在Firewall configuration-customize-Other ports中添加50000端口4重新启动 SSH 服务# /etc/rc.d/init.d/sshd restart5进行登录测试用ssh客户端登录服务器查看注意ssh端口改为50000 实施风险：低3、设置访问控制策略限制能够访问本机的用户或IP地址 先决条件：确定能够访问服务器的用户及IP地址。 实施步骤：序号工作内容举例备注1#vi /etc/hosts.deny在文件最后添加如下行sshd: ALL添加这一行，屏蔽来自所有的SSH连接请求2#vi /etc/hosts.allow在文件最后添加如下行sshd: 00 01添加这一行，只允许来自指定IP的SSH客户端连接请求3重新启动 SSH 服务# /etc/rc.d/init.d/sshd restart4进行登录测试用ssh客户端登录服务器查看4、禁止root用户远程登陆 先决条件：被保护服务器具有本地操作的条件，如KVM，本地键盘显示器等或者有普通用户可以su为root。 实施步骤：序号工作内容举例备注1修改相关配置#vi /etc/ssh/sshd_config找到#PermitRootLogin yes将“#”删除，再将行末的yes改为no3重新启动 SSH 服务# /etc/rc.d/init.d/sshd restart4进行登录测试用ssh客户端登录服务器查看 实施风险：低5、在主机信任关系配置文件中，删除远程信任主机 先决条件：确认系统的确不需要远程信任主机。 实施步骤：序号工作内容举例备注1查看/etc/hosts.equiv$home/.rhosts#more /etc/hosts.equiv#more /home/mysql/.rhosts2删除/etc/hosts.equiv$home/.rhosts文件中的主机及帐号列表在主机及帐号列表前用#注释3查看rsh服务包安装情况# rpm -qa|grep rshrsh-server-0.17-40.el5rsh-0.17-40.el5默认情况下rsh-server包是不安装的,如果存在可以删除4删除rsh-server包# rpm -e rsh-server 实施风险：高6、屏蔽登录banner信息 实施步骤：序号工作内容举例备注1查看/etc/security/login.cfg文件vi /etc/ssh/sshd_config找到#Banner /etc/将“#”删除，再将行末；2修改/etc/文件将文件内容改为: = Warning: ATTENTION:You have logged onto a secured server! =3登录测试在login前会提示ATTENTION:You have logged onto a secured server.而不包含任何版本信息 实施风险：低2.5口令策略加固对操作系统设置口令策略，设置口令复杂性要求，为所有用户设置强壮的口令。1、开启口令复杂性要求，设置口令长度，用户口令长度8位 实施步骤：序号工作内容举例备注1查看密码策略设置#more /etc/login.defs|grep PASS 2设置口令长度=8位PASS_MIN_LEN 8用vi修改/etc/login.defs配置文件相关内容3新建用户的密码最长使用天数PASS_MAX_DAYS 90用vi修改/etc/login.defs配置文件相关内容4新建用户的密码最短使用天数PASS_MIN_DAYS 0用vi修改/etc/login.defs配置文件相关内容5新建用户的密码到期提前提醒天数PASS_WARN_AGE 7用vi修改/etc/login.defs配置文件相关内容6重新设置口令$passwd测试策略修改是否成功 实施风险：中2.6用户鉴别加固配置操作系统用户鉴别失败阀值及达到阀值所采取的措施，设置操作系统用户交互登录失败、管理控制台自锁，设置系统超时自动注销功能。1、设置帐户锁定阀值（登录失败次数）、锁定时间 实施步骤：序号工作内容举例备注1查看/etc/pam.d/system-auth文件有无auth required pam_tally.so条目的设置 more /etc/pam.d/system-auth2设置6次登陆失败后帐户锁定阀值在配置文件中添加一行auth required pam_tally.so onerr=fail deny=63解除锁定# usermod U username实施风险：中2、修改帐户TMOUT值，设置自动注销时间 实施步骤：序号工作内容举例备注1查看/etc/profile文件#more /etc/profile2修改配置设置TMOUT=120对于 Bourne, Korn, 和 POSIX shell，修改 /etc/profile文件，添加：export TMOUT=120对于C shell, 修改 /etc/csh.login文件，添加：set autologout=1203登录测试连续120s没有输入后会显示timed out waiting for input: auto-logout，连接丢失。 实施风险：中2.7审计策略加固配置操作系统的日志功能，使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计，确保系统在发生安全事件时有日志可供分析。1、配置系统日志策略配置文件，使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计 实施步骤：序号工作内容举例备注1查看/etc/syslog.conf文件#more /etc/syslog.conf2查看系统日志服务状态#chkconfig list#ps -aef|grep syslog默认该服务是启动的，每次配置修改后需重启该服务3启动syslog服务# service syslog start4停止syslog服务# service syslog stop5查看/etc/syslog.conf文件，确认配置#more /etc/syslog.conf 查看syslogd配置确认日志文件是否存在系统日志/var/log/messagescron日志 /var/log/cron安全日志 /var/log/secure 实施风险：高2、开启操作系统审计功能，对审计产生的数据分配合理的存储空间和存储时间 实施步骤：序号工作内容举例备注1查看audit配置文件并修改#more /etc/audit/auditd.conf# This file controls the configuration of the audit daemon#log_file = /var/log/audit/audit.loglog_format = RAWpriority_boost = 3flush = INCREMENTALfreq = 20num_logs = 4dispatcher = /sbin/audispddisp_qos = lossymax_log_file = 5max_log_file_action = ROTATEspace_left = 75space_left_action = SYSLOGaction_mail_acct = rootadmin_space_left = 50admin_space_left_action = SUSPENDdisk_full_action = SUSPENDdisk_error_action = SUSPEND详见注A: auditd.conf配置文件详细配置。2编写审计规则与观察器以下是审计规则示例：#Record all file opens from user 501#Use with caution since this can quickly#produce a large quantity of records-a exit，always -S open -F uid=501 -F key=501open#Record file permission changes-a entry，always -S chmod以下是观察器示例：#Watch for changes to sysconfig files-w /etc/sysconfig -k SYSCONFIG#Watch for changes to audit config files-w /etc/audit/audit.rules -k AUDIT_RULES-w /etc/audit/auditd.conf -k AUDIT_CONF-w /var/log/audit/ -k LOG_AUDIT#Watch to see who tries to start the VPN client-w /usr/bin/vpnc -k VPNC -p x#Watch password files-w /etc/group -k PASSWD-w /etc/passwd -k PASSWD-w /etc/shadow -k PASSWD修改配置文件/etc/audit/audit.rules，该配置文件中的每个规则和观察器必须单独在一行中，以#开头的行会被忽略。规则和观察器是auditctl命令行选项，前面没有auditctl命令。它们从上到下阅读文件。如果一个或多个规则或观察器互相冲突，则使用找到的第一个。详见注B：3使审计守护进程自动在运行时启动#chkconfig auditd on 5启动审计守护进程#service auditd start 当配置守护进程和添加规则与观察器时，应用root用户启动6停止审计守护进程#service auditd stop7重启审计守护进程#service auditd restart。如果当您修改守护进程的配置时守护进程已经在运行，则应以根用户身份执行8列出所有活动的规则和观察器# auditctl -1要验证规则与观察器已经修改，应以根用户身份执行auditctl -1命令 实施风险：高注A: auditd.conf配置文件详细配置。可以配置下面这些选项：log_file审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时，一定要修改它上面的文件权限，使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个目录或这个目录中的日志文件。log_format写日志时要使用的格式。当设置为RAW时，数据会以从内核中检索到的格式写到日志文件中。当设置为NOLOG时，数据不会写到日志文件中，但是如果用dispatcher选项指定了一个，则数据仍然会发送到审计事件调度程序中。priority_boost审计应采用多少优先级推进守护进程。必须是非负数。0表示没有变化。flush多长时间向日志文件中写一次数据。值可以是NONE、INCREMENTAL、DATA和SYNC之一。如果设置为NONE，则不需要做特殊努力来将数据刷新到日志文件中。如果设置为INCREMENTAL，则用freq选项的值确定多长时间发生一次向磁盘的刷新。如果设置为DATA，则审计数据和日志文件一直是同步的。如果设置为SYNC，则每次写到日志文件时，数据和元数据是同步的。freq如果flush设置为INCREMETNAL，审计守护进程在写到日志文件中前从内核中接收的记录数。num_logsmax_log_file_action设置为ROTATE时要保存的日志文件数目。必须是099之间的数。如果设置为小于2，则不会循环日志。如果递增了日志文件的数目，就可能有必要递增/etc/audit/audit.rules中的内核backlog设置值，以便留出日志循环的时间。如果没有设置num_logs值，它就默认为0，意味着从来不循环日志文件。dispatcher当启动这个守护进程时，由审计守护进程自动启动程序。所有守护进程都传递给这个程序。可以用它来进一步定制报表或者以与您的自定义分析程序兼容的不同格式产生它们。自定义程序的示例代码可以在/usr/share/doc/audit- /skeleton.c中找到。由于调度程序用根用户特权运行，因此使用这个选项时要极其小心。这个选项不是必需的。disp_qos控制调度程序与审计守护进程之间的通信类型。有效值为lossy和lossless。如果设置为lossy，若审计守护进程与调度程序之间的缓冲区已满(缓冲区为128千字节)，则发送给调度程序的引入事件会被丢弃。然而，只要log_format没有设置为nolog，事件就仍然会写到磁盘中。如果设置为lossless，则在向调度程序发送事件之前和将日志写到磁盘之前，调度程序会等待缓冲区有足够的空间。max_log_file以兆字节表示的最大日志文件容量。当达到这个容量时，会执行max_log_file _action指定的动作。max_log_file_action当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之一。如果设置为IGNORE，则在日志文件达到max_log_file后不采取动作。如果设置为SYSLOG，则当达到文件容量时会向系统日志/var/log/messages中写入一条警告。如果设置为SUSPEND，则当达到文件容量后不会向日志文件写入审计消息。如果设置为ROTATE，则当达到指定文件容量后会循环日志文件，但是只会保存一定数目的老文件，这个数目由num_logs参数指定。老文件的文件名将为audit.log.N，其中N是一个数字。这个数字越大，则文件越老。如果设置为KEEP_LOGS，则会循环日志文件，但是会忽略num_logs参数，因此不会删除日志文件。space_left以兆字节表示的磁盘空间数量。当达到这个水平时，会采取space_left_action参数中的动作。space_left_action当磁盘空间量达到space_left中的值时，采取这个动作。有效值为IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和HALT。如果设置为IGNORE，则不采取动作。如果设置为SYSLOG，则向系统日志/var/log/messages写一条警告消息。如果设置为EMAIL，则从action_mail_acct向这个地址发送一封电子邮件，并向/var/log/messages中写一条警告消息。如果设置为SUSPEND，则不再向审计日志文件中写警告消息。如果设置为SINGLE，则系统将在单用户模式下。如果设置为SALT，则系统会关闭。action_mail_acct负责维护审计守护进程和日志的管理员的电子邮件地址。如果地址没有主机名，则假定主机名为本地地址，比如root。必须安装sendmail并配置为向指定电子邮件地址发送电子邮件。admin_space_left以兆字节表示的磁盘空间数量。用这个选项设置比space_left_action更多的主动性动作，以防万一space_left_action没有让管理员释放任何磁盘空间。这个值应小于space_left_action。如果达到这个水平，则会采取admin_space_left_ action所指定的动作。admin_space_left_action当自由磁盘空间量达到admin_space_left指定的值时，则采取动作。有效值为IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和HALT。与这些值关联的动作与space_left_action中的相同。disk_full_action如果含有这个审计文件的分区已满，则采取这个动作。可能值为IGNORE、SYSLOG、SUSPEND、SINGLE和HALT。与这些值关联的动作与space_left _action中的相同。提示：如果不循环审计日志文件，则含有/var/log/audit/的分区可能变满并引起系统错误。因此，建议让/var/log/audit/位于一个单独的专用分区。disk_error_action如果在写审计日志或循环日志文件时检测到错误时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、SINGLE和HALT之一。与这些值关的动作与space_left_action中的相同。/etc/sysconfig/auditd文件可以用来设置带EXTRAOPTIONS参数的auditd的命令行选项。唯一的命令行选项-f以调试模式安