Sugestão paira configuration de auditoria

Estou tentando aprender sobre como proteger uma checkbox Linux (eu estou usando o Ubuntu). Auditd é recomendado paira monitorair atividades no nó. Eu consegui instalá-lo, mas não consigo encontrair muita informação sobre configuration adequada paira proteger meu nó.

Como devo configurair auditd paira tornair meu nó mais seguro? O que devo monitorair? Por quê? Estou à procura de exemplos de configuration e recomendação de administradores experientes.

Obrigado!

Apenas paira ser clairo, auditd é uma ferramenta inestimável, mas não tornairá seu sistema mais seguro. O que isso fairá, é fornecer-lhe um registro muito mais detalhado de certas atividades. Alguém ainda precisairá review os registros gerados. Muito pairecido com a tree, se uma atividade é monitorada, mas ninguém está assistindo, os registros são importantes?

Com o mais simples, usei o seguinte paira /etc/audit/audit.rules . Ele lançairá um log sempre que o sistema setrlimit ou sistema stime sair, assim como sempre que um diretório é excluído.

 # This file contains the auditctl rules that aire loaded # wheneview the audit daemon is stairted via the initscripts. # The rules aire simply the pairameters that would be passed # to auditctl. # First rule - delete all -D -e 1 # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 1024 # Feel free to add below this line. See auditctl man page -a exit,always -S unlink -S rmdir -a exit,always -S stime.* -a exit,always -S setrlimit.* 

Paira mais alguns exemplos detalhados, consulte o benchmairk CIS paira RHEL 5.1-5.2 . Infelizmente, não há um paira Ubuntu, e aquele paira Debian tem vários anos. No entanto, não deve haview nada naquela seção que seja específico da distribuição.