Dengan event auditing, memungkinkan kita untuk meningkatkan sistem ke keamanan FreeBSD kita dengan keleluasaan untuk mengkonfigurasi logging atas sistem login, perubahan konfigurasi, manipulasi file dan akses jaringan. Event auditing bersifat live system monitoring, intrusion detection, dan post-mortem analysis. Fitur ini disediakan oleh FreeBSD 6.2 ke atas.
Instalasi event auditing :
-
Karena kita menggunakan FreeBSD 6.2, kita perlu meng-compile ulang kernal dengan penambahan baris : options AUDIT, kalau FreeBSD 7 kernelnya sudah otomatis support event auditing
-
Edit file /etc/rc.conf dengan lalu menambahkan baris : /usr/sbin/auditd untuk mengotomatiskan running-nya daemon auditd setiap booting ulang
-
Kofigurasi file-file yang berhubungan dengan event auditing seharusnya berada di direktori /var/security/. Karena itu, salin semua file di direktori /var/tmp/temproot/etc/security/ ke /var/security/. Kita bisa membiarkan konfigurasi defaultnya atau jika kita ingin bereksperimen dengan opsi-opsi yang ada, ada baiknya kita membaca tutorial yang ada di sini : http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/audit-config.html
-
Untuk menampilkan log atau catatan hasil audit, kita bisa menggunakan perintah praudit. Defaultnya event auditing menyimpan log-nya di direktori /var/audit [sesuai dengan konfigurasi di file /var/tmp/temproot/etc/security/audit_control]. Contohnya :
# praudit /var/audit/20071226075748.20071226075817
header,93,10,audit startup,0,Wed Dec 26 14:57:48 2007, + 60 msec
subject,root,root,wheel,root,wheel,544,544,0,0.0.0.0
text,auditd::Audit startup
return,success,0
trailer,93 -
Live auditing :
# praudit /dev/auditpipe0
header,97,10,su(1),0,Wed Dec 26 15:00:54 2007, + 608 msec
subject,sakti,root,sakti,sakti,sakti,578,578,2445,192.168.1.2
text,successful authentication
return,success,0
trailer,97
FreeBSD…KOKOH TAK TERTANDINGI.
Dedicated for Light Intermutimedia
Perusahaan Software Pulsa