近来,IBM Power System 主要管理人员普遍摆脱对他们托管的单独 LPAR 的日常管理工作。随着组织寻求进行进一步的整合,这些强大的系统被分割并递送到各个部门,执行相应的功能。
安全地隔离各个工作负载并将管理移交给最接近组织日常业务的人员是一种强大的功能,但要实现这一目标且同时又要确保集中、一致的系统审计方法会是一个挑战。存在此类的解决方案,但是没有一个解决方案能像 PowerSC Trusted Logging 那样安全或易于配置,PowerSC Trusted Logging 大大提高了 AIX LPAR 生成的日志数据的可管理性和可信度。Trusted Logging 需要 AIX 6 TL7 或 7 TL1 以及虚拟 I/O 服务器 2.2.1.0 上安装 PowerSC 1.1.0.0。
图 1.Trusted Logging 结构图
![]()
Trusted Logging 允许在系统的虚拟 I/O 服务器上创建新的虚拟日志设备,从而整合和固化日志数据,然后再将设备附加到所选的 AIX LPAR 上。从 LPAR 的角度来看,这些设备是只追加文件以供日志记录(或几乎任何数据)写入,但不能被检索、修改或删除。只有虚拟 I/O 服务器管理员才能访问存储在虚拟 I/O 服务器的文件系统中管理员可指定位置的数据,如图 1 所示。
在部署了 Trusted Logging 以后,具有访问 LPAR 的特权的攻击者(或想要隐匿自己行踪的管理员)将无法再删除指示入侵源的日志记录;这些记录已经存储在虚拟 I/O 服务器上无法触及的位置。此外,由于日志记录传输由 PowerVM 管理程序以高度安全的方式进行,不需要网络连接,因此虚拟 I/O 服务器能够获得高水平的保护和隔离。
即使这种最高级的安全性在您的环境中并不是个问题,Trusted Logging 能够轻松将日志记录从所有的 LPAR 整合到虚拟 I/O 服务器文件系统的一个位置,这提供了单一的日志收集和分析点。日志检索和备份工具现在只需要与虚拟 I/O 服务器进行交互,而不需要连接到各个 LPAR。连接到各个 LPAR 可能需要在每个 LPAR 上安装专门的代理软件。
当日志数据到达虚拟 I/O 服务器后,日志记录存储在分层目录结构中,首先根据 LPAR 主机名称划分,然后再根据日志数据类型划分,如图 2 所示。
图 2. 从 LPAR 收集的日志记录
![]()
当然,实时分区迁移功能也有效。当您将正在运行的 LPAR 从一个系统迁移到另一个系统时,虚拟日志设备会在目标系统上的虚拟 I/O 服务器上重新创建,并重新连接到 LPAR。在移动操作过程中没有丢失日志记录。
Trusted Logging 不替换 LPAR 上的现有记录机制。相反,它可以很轻松地部署,扩充现有的记录机制,确保日志消息除了本地存储在 AIX LPAR 上之外,还被传输到虚拟 I/O 服务器。
设置虚拟日志设备
配置新的虚拟日志设备非常简单。虚拟日志里会利用现有的虚拟 SCSI 适配器功能,它提供了虚拟 I/O 服务器及其客户端 LPAR 之间的 SCSI 连接。虚拟 SCSI 过去一直用于提供能够访问磁盘和光存储器的 LPAR,Trusted Logging 将该功能扩展到包括虚拟日志,因此所选 LPAR 和虚拟 I/O 服务器之间可能已经存在 Trusted Logging 需要的虚拟 SCSI 适配器,如图 3 所示。
图 3.Trusted Logging 利用虚拟 SCSI 链接进行通信
![]()
假设 LPAR 和虚拟 I/O 服务器之间已经存在虚拟 SCSI 适配器,只需要一个 Virtual I/O Server 命令便可创建一个新的虚拟日志设备,并将其附加到客户端 LPAR。只需要为日志选择一个名称以及将把该虚拟日志附加到的虚拟 SCSI 适配器名称:
$ mkvlog -name syslog -vadapter vhost0
Virtual log 0000000000000000da7b87c449c10f6b created
vtlog0 Available
|
每个虚拟日志都分配了一个惟一的 ID,如上面的命令输出所示。该惟一的 ID 在整个虚拟日志的生命周期都有效,并在整个生命周期操作中用于惟一地识别该日志,如修改日志的属性或删除该虚拟日志。该惟一的 ID 在整个实时分区迁移操作过程中与虚拟日志一起移动。
AIX 客户 LPAR 上的虚拟日志
在虚拟 I/O 服务器上创建了虚拟日志设备后,设置 AIX 服务以便在客户 LPAR 上利用虚拟日志设备非常简单。通过运行 cfgmgr 命令或在系统重启后,在 AIX LPAR 上会检测到该虚拟日志设备。
在虚拟 I/O 服务器上创建的每个虚拟日志设备看起来像是相关客户 LPAR 上的单独的设备。这些设备可以像普通文件那样打开和关闭,只需将数据写入到打开的设备上便可存储日志消息。不允许从文件执行读取操作。
典型的部署如图 4 所示,在虚拟 I/O 服务器上创建多个虚拟日志,并通过一个单一的虚拟 SCSI 适配器导出到客户机 LPAR,其中每个虚拟日志都可以由不同的操作系统服务用来存储日志记录。
图 4. 多个虚拟日志被创建并连接到一个单一的 LPAR
![]()
在每个虚拟日志中收集了两种不同类型的日志:
- 客户 LPAR 上的操作系统生成的实际日志消息被作为日志数据写入到虚拟 I/O 服务器。
- 此外,捕捉了介绍虚拟日志本身的行为和活动的状态数据。
虚拟 I/O 服务器管理员能够指定可以为每个虚拟日志存储的日志数据量和状态数据,从而防止一个日志记录耗尽虚拟 I/O 服务器的文件系统的可用空间。
简单易行
在客户 LPAR 上,任何特权进程都可以将消息或任意数据写入虚拟日志设备。如上所示,写入到该设备的任何项目都将被安全地传递到虚拟 I/O 服务器并进行存储。
您的内部工具和脚本可以通过标准的 AIX 工具(如:cat 和 echo)写入相关设备,利用虚拟日志,然而,现有的 AIX 服务也可以毫不费力地使用虚拟日志。
使用带有 AIX 系统日志服务的虚拟日志简单易行。一直以来,系统日志服务在 /etc/syslog.conf 文件的控制下将所选的系统消息写入日志文件,并且它还可以配置为以完全相同的方式将消息写入指定的虚拟日志设备。例如,要捕捉所有成功和失败的用户登录活动,请将以下行添加到 /etc/syslog.conf 文件:
这样会得到写入虚拟 I/O 服务器的客户 LPAR 上所有登录活动的发起 IP 地址,LPAR 内的用户无法删除或修改记录。如果系统日志服务被重新配置或去激活,那么这会被记录在任何关联虚拟日志的状态日志中。
除了将审计记录写入本地文件系统,AIX 审计子系统也可以配置为将二进制数据(以 auditbin 模式)写入虚拟日志设备。实现这功能只需要在 /etc/security/audit/config 文件中的 bin: 小节下加入一行:
由此产生的行为与系统日志非常类似,二进制格式的审计记录在虚拟 I/O 服务器上复制,可以通过 auditpr 命令以传统方式进行查看。
安全性变得简单
PowerSC Trusted Logging 非常独特,因为它实现了以前所未有的简单方式将日志文件从 LPAR 实时复制到受保护的位置。这项技术可用来确保在 Power Systems 中采用一致的方法保留审计记录,其中必须委托 LPAR 管理职责,而这些均在不增加管理人员负担的情况下便可实现。
通过 Trusted Logging 将日志记录从多个 LPAR 整合到一个单一的位置对日志分析和备份方面具有优势,即使在审计并不是迫切的安全性问题的情况下也是如此。最后,我们看到现有的 OS 服务和自定义工具如何能够轻松地与 Trusted Logging 功能进行集成,从而可以轻松设置安全的端到端日志归档系统,而不需要任何复杂的配置。
作者简介
Geraint North 是一名来自 IBM 英国曼彻斯特实验室的 System Storage 和 Power Systems 工程师,同时他也是 PowerSC Trusted Logging 的架构师。
Saurabh Desai 是一个拥有 20 年经验的 AIX 架构师,他对于操作系统内部结构十分了解,同时十分熟悉 AIX 和 Linux。他同时是一个流程管理和安全方面的专家,领导和实施了多个 AIX 6.1 的安全特性。
http://www.ibm.com/developerworks/cn/aix/systemmaga/8/Trusted_Logging_Simplifies_Security/index.html
免费注册
发表于 2012-01-19 11:32