紅帽企業 Linux 4 Update 2 改進了對審核子系統的內核和用戶支持。審核子系統可以被系統管理員用來監測系統調用和那些符合 CAPP 或其它審核要求的文件系統訪問。它的主要內容包括:
· 默認情況下,審核在內核中被禁用。但是,當安裝了 auditd 軟件後,運行這個軟件將會啟動審核守護進程(auditd)。
· 當 auditd 運行的時候,審核信息會被發送到一個用戶配置日志文件中(默認的文件是 /var/log/audit/audit.log)。如果 auditd 沒有運行,審核信息會被發送到 syslog。這是通過默認的設置來把信息放入 /var/log/messages。如果審核子系統沒有被啟用,沒有審核信息會被產生。
· 這些審核信息包括了 SELinux AVC 信息。以前,AVC 信息會被發送到 syslog,但現在會被審核守護進程發送到審核日志文件中。
· 要完全在內核中禁用審核,在啟動的時候使用 audit=0 參數。您還需要使用 chkconfig auditd off 2345 來關閉 auditd。您可以在運行時使用 auditctl -e 0 來在內核中關閉審核。
紅帽企業 Linux 4 Update 2 包括了審核子系統用戶空間服務和工具程序的初始發行。
審核守護進程(auditd)從內核的 audit netlink 接口獲取審核事件數據。auditd 的配置會不盡相同,如輸出文件配置和日志文件磁盤使用參數可以在 /etc/auditd.conf 文件中配置。請參閱 auditd(8) 和 auditd.conf(5) 說明書頁來獲得詳悉的信息。請注意,如果您設置您的系統來進行 CAPP 風格的審核,您必須設置一個專用的磁盤分區來只供 audit 守護進程使用。這個分區應該掛載在 /var/log/audit。
系統管理員還可以使用 auditctl 工具程序來修改 auditd 守護進程運行時的審核參數、syscall 規則和文件系統的查看。要獲得詳細的信息,請參閱 auditctl(8) 說明書頁。它包括了一個 CAPP 配置樣本,您可以把它拷貝到 /etc/audit.rules 來使它起作用。
審核日志數據可以通過 ausearch 工具程序來查看和搜索。請參閱 ausearch(8) 說明書頁來獲得搜索選項的信息。
2.不要關閉以下服務(除非你有充足的理由):
acpid, haldaemon, messagebus, klogd, network, syslogd
請確定修改的是運行級別 3 和 5。
NetworkManager, NetworkManagerDispatcher
NetworkManager 是一個自動切換網絡連接的後台進程。很多筆記本用戶都需要啟用該功能,它讓你能夠在無線網絡和有線網絡之間切換。大多數台式機用戶應該關閉該服務。一些 DHCP 用戶可能需要開啟它。
acpid
ACPI(全稱 Advanced Configuration and Power Interface)服務是電源管理接口。建議所有的筆記本用戶開啟它。一些服務器可能不需要 acpi。支持的通用操作有:“電源開關“,”電池監視“,”筆記本 Lid 開關“,“筆記本顯示屏亮度“,“休眠”, “掛機”,等等。
anacron, atd, cron
這幾個調度程序有很小的差別。 建議開啟 cron,如果你的電腦將長時間運行,那就更應該開啟它。對於服務器,應該更深入了解以確定應該開啟哪個調度程序。大多數情況下,筆記本/台式機應該關閉 atd 和 anacron。注意:一些任務的執行需要 anacron,比如:清理 /tmp 或 /var。
apmd
一些筆記本和舊的硬件使用 apmd。如果你的電腦支持 acpi,就應該關閉 apmd。如果支持 acpi,那麼 apmd 的工作將會由 acpi 來完成。
autofs
該服務自動掛載可移動存儲器(比如 USB 硬盤)。如果你使用移動介質(比如移動硬盤,U 盤),建議啟用這個服務。
avahi-daemon, avahi-dnsconfd
Avahi 是 zeroconf 協議的實現。它可以在沒有 DNS 服務的局域網裡發現基於 zeroconf 協議的設備和服務。它跟 mDNS 一樣。除非你有兼容的設備或使用 zeroconf 協議的服務,否則應該關閉它。我把它關閉。
bluetooth, hcid, hidd, sdpd, dund, pand
藍牙(Bluetooth)是給無線便攜設備使用的(非 wifi, 802.11)。很多筆記本提供藍牙支持。有藍牙鼠標,藍牙耳機和支持藍牙的手機。很多人都沒有藍牙設備或藍牙相關的服務,所以應該關閉它。其他藍牙相關的服務有:hcid 管理所有可見的藍牙設備,hidd 對輸入設備(鍵盤,鼠標)提供支持, dund 支持通過藍牙撥號連接網絡,pand 允許你通過藍牙連接以太網。
capi
僅僅對使用 ISDN 設備的用戶有用。大多數用戶應該關閉它。
cpuspeed
該服務可以在運行時動態調節 CPU 的頻率來節約能源(省電)。許多筆記本的 CPU 支持該特性,現在,越來越多的台式機也支持這個特性了。如果你的 CPU 是:Petium-M,Centrino,AMD PowerNow, Transmetta,Intel SpeedStep,Athlon-64,Athlon-X2,Intel Core 2 中的一款,就應該開啟它。如果你想讓你的 CPU 以固定頻率運行的話就關閉它。
cron
參見 anacron。
cupsd, cups-config-daemon
打印機相關。如果你有能在 Fedora 中驅動的 CUPS 兼容的打印機,你應該開啟它。
dc_client, dc_server
磁盤緩存(Distcache)用於分布式的會話緩存。主要用在 SSL/TLS 服務器。它可以被 Apache 使用。大多數的台式機應該關閉它。
dhcdbd
這是一個讓 DBUS 系統控制 DHCP 的接口。可以保留默認的關閉狀態。
diskdump, netdump
磁盤轉儲(Diskdump)用來幫助調試內核崩潰。內核崩潰後它將保存一個 “dump“ 文件以供分析之用。網絡轉儲(Netdump)的功能跟 Diskdump 差不多,只不過它可以通過網絡來存儲。除非你在診斷內核相關的問題,它們應該被關閉。
