一、AUDIT系统的概念:
audit子系统提供了一种纪录系统安全面信息的方法,同时能够为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。
AIX定义了一些可被审计的事件,能够在/etc/security/audit/events中找到,通常,这些事件都是定义在系统调用级别的。那么,一条命令能够产生多个事件,例如,假如用户通过cat或more命令来显示文档,能够在审计报告中发现下列事件:
FILE_Open(打开文档)
FILE_Read(读文档)
FILE_Write(写文档)
PROC_Create(产生进程cat或more)
PROC_Execute(执行命令)
PROC_Delete(进程执行完毕)
假如不加选择审计任何的事件会产生很大量的数据,通过修改audit配置文档/etc/security/audit/config文档,能够选择需纪录的事件。
本文简要介绍了audit系统的功能和概念,连同相关的命令
一、AUDIT系统的概念:
audit子系统提供了一种纪录系统安全面信息的方法,同时能够为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。
AIX定义了一些可被审计的事件,能够在/etc/security/audit/events中找到,通常,这些事件都是定义在系统调用级别的。那么,一条命令能够产生多个事件,例如,假如用户通过cat或more命令来显示文档,能够在审计报告中发现下列事件:
FILE_Open(打开文档)
FILE_Read(读文档)
FILE_Write(写文档)
PROC_Create(产生进程cat或more)
PROC_Execute(执行命令)
PROC_Delete(进程执行完毕)
假如不加选择审计任何的事件会产生很大量的数据,通过修改audit配置文档/etc/security/audit/config文档,能够选择需纪录的事件。
审计事件能够组成类,多个功能类似或相近的审计事件能够为他们定义一个类,类的定义也在/etc/security/audit/config中有,类的名字能够任意指定,类和用户UID是关联在一起的,需要对某用户定义其需要被事件的类。
审计对象是那些单个能够被审计的文档,能够审计的操作包括读、写和执行,审计对象和用户的UID不关联,只要这些文档被操作,不管是来自哪个用户,都能够产生审计纪录。审计对象在/etc/security/audit/objects中定义,如下:
/etc/security/environ:
w = "S_ENVIRON_WRITE"
/etc/security/group:
w = "S_GROUP_WRITE"
/etc/security/limits:
w = "S_LIMITS_WRITE"
/etc/security/login.cfg:
w = "S_LOGIN_WRITE"
/etc/security/passwd:
r = "S_PASSWD_READ"
w = "S_PASSWD_WRITE"
/etc/security/user:
w = "S_USER_WRITE"
/etc/security/audit/config:
w = "AUD_CONFIG_WR"
其中第一行为审计对象的文档名,第二行为输出的格式,该格式在/etc/security/audit/events中定义如下:
/etc/security/environ
S_ENVIRON_WRITE = printf "%s"
/etc/group
S_GROUP_WRITE = printf "%s"
/etc/security/limits
S_LIMITS_WRITE = printf "%s"
用户能够自己在该文档中定义审计对象。
审计能够以两种模式运行:BIN和STREAM,BIN模式指的是audit将结果写入临时文档bins,然后在写入到一个单一的文档中去。STREAM模式指的是审计子系统通过伪设备文档/dev/audit将数据写入一个固定大小的文档,当写入数据超出时,最早写入的数据将被覆盖。
审计子系统能够以其中一种模式或两种模式启动。我们能够编辑审计子系统的配置文档/etc/security/audit/config来更改所用模式,如下:
start:
binmode = on
streammode = off
bin:
trail = /audit/trail
bin1 = /audit/bin1
bin2 = /audit/bin2
binsize = 10240
cmds = /etc/security/audit/bincmds
stream:
cmds = /etc/security/audit/streamcmds
可见,该系统使用的是bin模式,他使用了两个临时bins文档,bin1和bin2,他们的大小都是10240字节,当其中一个文档满了之后,子系统将打开另一个文档,并把前一个文档的纪录都转移到trail文档中,子系统停止时,这些bins中的内容将都被加入到trail文档中去,这些纪录的文档采用了二进制方式,可用命令auditpr查看。
在stream模式中,系统将通过调用/etc/security/audit/streamcmds命令来处理纪录,这条命令将把输出变成可读的格式写入文档/audit/stream.out中,audit系统重新启动时,他将被清空。所以,能够定时读他或将他的内容打印出来。
下面介绍一下审计子系统的控制命令:
启动和停止审计子系统 /usr/sbin/audit是控制审计子系统的基本命令,他有下列五条子命令:- audit start 激活审计子系统
这是启动审计子系统的唯一正确方法 - audit shutdown 停止审计子系统
他将处理BIN模式下的bins临时文档,并删除/audit/auditb文档,这个文档是个审计子系统是否活着的标识 - audit off 暂时挂起审计子系统
- audit on 挂起后重新激活审计子系统
- audit query 显示子系统状态
假如不按顺序使用这些命令,审计子系统会被弄乱,假如出现这种状态,将/audit下的文档都删除(除去纪录文档train.stream.out, bin1, bin2等)
如希望在系统启动时启动审计子系统,可在/etc/rc中,在dspmsg rc.cat 5 'Multi-user initialization completed\n'行之前加入下行: /usr/sbin/audit start
假如审计子系统一直运行,那要确保系统关闭时他被正确地停止了,在/usr/sbin/shutdown中加入一行: /usr/sbin/audit/shutdown
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
