AIX系统中Audit系统的功能和概念.docVIP

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
AIX系统中Audit系统的功能和概念,aixaudit,aix系统,aix系统管理,aix系统下载,aix操作系统,查看aix系统版本,aix系统日志,aix文件系统,aix扩展文件系统

[转]AIX系统中Audit系统的功能和概念,以及相关的命令 本文简要介绍了audit系统的功能和概念,以及相关的命令 一、AUDIT系统的概念: audit子系统提供了一种纪录系统安全方面信息的方法,同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。 AIX定义了一些可被审计的事件,可以在/etc/security/audit/events中找到,通常,这些事件都是定义在系统调用级别的。那么,一条命令可以产生多个事件,例如,如果用户通过cat或more命令来显示文件,可以在审计报告中发现下列事件: FILE_Open(打开文件) FILE_Read(读文件) FILE_Write(写文件) PROC_Create(产生进程cat或more) PROC_Execute(执行命令) PROC_Delete(进程执行完毕) 如果不加选择审计所有的事件会产生非常大量的数据,通过修改audit配置文 件/etc/security/audit/config文件,可以选择需纪录的事件。 审计事件可以组成类,多个功能类似或相近的审计事件可以为它们定义一个类,类的定义也 在/etc/security/audit/config中有,类的名字可以任意指定,类和用户UID是关联在一起的,需要对某 用户定义其需要被事件的类。 审计对象是那些单个可以被审计的文件,能够审计的操作包括读、写和执行,审计对象和用户的UID不关 联,只要这些文件被操作,不管是来自哪个用户,都可以产生审计纪录。审计对象 在/etc/security/audit/objects中定义,如下: /etc/security/environ: w = S_ENVIRON_WRITE /etc/security/group: w = S_GROUP_WRITE /etc/security/limits: w = S_LIMITS_WRITE /etc/security/login.cfg: w = S_LOGIN_WRITE /etc/security/passwd: r = S_PASSWD_READ w = S_PASSWD_WRITE /etc/security/user: w = S_USER_WRITE /etc/security/audit/config: w = AUD_CONFIG_WR 其中第一行为审计对象的文件名,第二行为输出的格式,该格式在/etc/security/audit/events中定义如 下: /etc/security/environ S_ENVIRON_WRITE = printf %s /etc/group S_GROUP_WRITE = printf %s /etc/security/limits S_LIMITS_WRITE = printf %s 用户可以自己在该文件中定义审计对象。 审计可以以两种模式运行:BIN和STREAM,BIN模式指的是audit将结果写入临时文件bins,然后在写入到 一个单一的文件中去。STREAM模式指的是审计子系统通过伪设备文件/dev/audit将数据写入一个固定大小 的文件,当写入数据超出时,最早写入的数据将被覆盖。 审计子系统可以以其中一种模式或两种模式启动。我们可以编辑审计子系统的配置文 件/etc/security/audit/config来更改所用模式,如下: start: binmode = on streammode = off bin: trail = /audit/trail bin1 = /audit/bin1 bin2 = /audit/bin2 binsize = 10240 cmds = /etc/security/audit/bincmds stream: cmds = /etc/security/audit/streamcmds 可见,该系统使用的是bin模式,它使用了两个临时bins文件,bin1和bin2,它们的大小都是10240字节, 当其中一个文件满了之后,子系统将打开另一个文件,并把前一个文件的纪录都转移到trail文件中,子 系统停止时,这些bins中的内容将都被加入到trail文件中去

您可能关注的文档

文档评论(0)

xingkongwd + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档