AIX系统中Audit系统的功能和概念.docVIP

[转]AIX系统中Audit系统的功能和概念，以及相关的命令 本文简要介绍了audit系统的功能和概念，以及相关的命令 一、AUDIT系统的概念: audit子系统提供了一种纪录系统安全方面信息的方法，同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时，提供及时的警告信息，这些audit子系统所搜集的信息包括：可被审计的事件名称，事件状态（成功或失败），别的安全相关的信息。 AIX定义了一些可被审计的事件，可以在/etc/security/audit/events中找到，通常，这些事件都是定义在系统调用级别的。那么，一条命令可以产生多个事件，例如，如果用户通过cat或more命令来显示文件，可以在审计报告中发现下列事件： FILE_Open（打开文件） FILE_Read（读文件） FILE_Write（写文件） PROC_Create（产生进程cat或more） PROC_Execute（执行命令） PROC_Delete（进程执行完毕） 如果不加选择审计所有的事件会产生非常大量的数据，通过修改audit配置文 件/etc/security/audit/config文件，可以选择需纪录的事件。 审计事件可以组成类，多个功能类似或相近的审计事件可以为它们定义一个类，类的定义也 在/etc/security/audit/config中有，类的名字可以任意指定，类和用户UID是关联在一起的，需要对某 用户定义其需要被事件的类。 审计对象是那些单个可以被审计的文件，能够审计的操作包括读、写和执行，审计对象和用户的UID不关 联，只要这些文件被操作，不管是来自哪个用户，都可以产生审计纪录。审计对象 在/etc/security/audit/objects中定义，如下： /etc/security/environ: w = S_ENVIRON_WRITE /etc/security/group: w = S_GROUP_WRITE /etc/security/limits: w = S_LIMITS_WRITE /etc/security/login.cfg: w = S_LOGIN_WRITE /etc/security/passwd: r = S_PASSWD_READ w = S_PASSWD_WRITE /etc/security/user: w = S_USER_WRITE /etc/security/audit/config: w = AUD_CONFIG_WR 其中第一行为审计对象的文件名，第二行为输出的格式，该格式在/etc/security/audit/events中定义如 下： /etc/security/environ S_ENVIRON_WRITE = printf %s /etc/group S_GROUP_WRITE = printf %s /etc/security/limits S_LIMITS_WRITE = printf %s 用户可以自己在该文件中定义审计对象。 审计可以以两种模式运行：BIN和STREAM，BIN模式指的是audit将结果写入临时文件bins，然后在写入到 一个单一的文件中去。STREAM模式指的是审计子系统通过伪设备文件/dev/audit将数据写入一个固定大小 的文件，当写入数据超出时，最早写入的数据将被覆盖。 审计子系统可以以其中一种模式或两种模式启动。我们可以编辑审计子系统的配置文 件/etc/security/audit/config来更改所用模式，如下： start: binmode = on streammode = off bin: trail = /audit/trail bin1 = /audit/bin1 bin2 = /audit/bin2 binsize = 10240 cmds = /etc/security/audit/bincmds stream: cmds = /etc/security/audit/streamcmds 可见，该系统使用的是bin模式，它使用了两个临时bins文件，bin1和bin2，它们的大小都是10240字节， 当其中一个文件满了之后，子系统将打开另一个文件，并把前一个文件的纪录都转移到trail文件中，子 系统停止时，这些bins中的内容将都被加入到trail文件中去