Linux Kernel Auditing

Linux Kernel Audit Subsystem / Framework -- Eine Zertifizierungsanforderung, die sich als Hilfreich herausstellt.

2004 wurde das Kernel Auditing Subsystem als Anforderung einer Common Criteria Vorgabe entwickelt und in den 2.6.4er integriert. Seitdem bietet das Subsystems eine Schnittstelle für Live Event Benachrichtigungen, basierend auf Syscalls. In dem Vortrag möchte ich die Erfahrung einer Linux Kernel Auditing Einführung in einer produktiven Landschaft basierend auf SUSE, RedHat und Oracle Linux weitergeben. Desweiteren gibt es einen Überblick über die Vor- und Nachteile einer SIEM Anbindung. Am Ende des Vortrags solltet ihr neben dem Verständnis vom Ablauf des Kernel Auditing, eine funktionale Konfiguration haben, mit der Änderungen am System live gemeldet werden. Nebenbei bekommt man noch ein handliches Werkzeug für die immer häufiger geforderten Compliance Reports. Beispiele der Überwachung Lesender / Schreibender Zugriff auf Dateien (private Keys, Zertifikate) Laden / Entladen von Modulen, Schreibender Zugriff auf Verzeichnisse.

Referent:

Benjamin Knust arbeitet seit knapp 3 Jahren als Sysadmin bei der Postbank System im Linux/Unix Betrieb. Hauptaufgabe ist hier die Sicherstellung des laufenden Betriebes. Nebenbei unterstützt er die Kollegen vom CERT und vom Operating Security im Rahmen von Patchmanagement und sicherheitsrelevanten Konfigurationen der Server. Vor seiner Zeit als "sesshafter Sysadmin" :-) hat er sich 8 Jahre als Linux Consult durch die Behörden- und Firmen-Landschaft geschlagen.