- 论坛徽章:
- 0
|
|
关于AIX的安全特性的,利用审计功能跟踪重要文件的修改和访问情况,对于管理员比较有用。\r\n\r\n\r\n原文地址:\r\nhttp://www.ibm.com/developerworks/cn/aix/library/au-audit/?ca=dgr-cn-cu&s_tact=105agx52&s_cmp=gr\r\n\r\n\r\n使用审核来跟踪对文件的读写操作\r\n developerWorks\r\n \r\n \r\n\r\n\r\n级别: 中级\r\n\r\nAshish Nainwal (nainwal@in.ibm.com), 系统管理员, IBM\r\n\r\n2007 年 10 月 22 日\r\n\r\n 在本文中,将介绍如何在 AIX® 中使用审核(AIX 安全方面的一个重要特性)来跟踪多个事件,并了解如何使用审核来跟踪对文件的读写操作。另外,还将研究一些相关的命令,如 ls 或者 istat,以检查文件的时间戳。\r\n\r\n引言\r\n\r\nAIX® 提供了一些简单的方式以跟踪最近对文件的访问。ls 命令就是一个示例。但是,有时您还希望了解是谁、或者哪个进程对该文件进行了访问。您可能需要这样的信息,以便进行调试或者对重要的文件进行跟踪。在审核 的帮助之下,您可以跟踪对文件的读写操作的相关信息。\r\n\r\n在 AIX 中,审核系统用于记录与安全相关的信息,并向管理员发出有关安全问题的警告。您可以自定义配置和目标文件,审核子系统将使用它们来跟踪任何需要跟踪的文件。您还可以使用审核的实时监视特性,以跟踪某些进程和文件(由未标识的进程随意地进行修改)。\r\n\r\n跟踪\r\n\r\n跟踪文件没有什么特殊的要求;您所需要的是具有 root 访问权限的一个普通的 AIX 系统。audit 命令为 root 用户和 audit 组的成员授予执行访问权限。对于非 root 用户,如果要在系统中执行审核,那么就应该是 audit 组的成员。\r\n\r\n跟踪文件的概要步骤如下:\r\n\r\n 1. 配置审核子系统\r\n 2. 监视输出\r\n\r\n配置审核子系统\r\n\r\n配置审核子系统需要在目标和配置文件(审核子系统将其用于生成结果)中建立特定的条目。\r\n\r\n在这个场景中,您将要跟踪 /home/test.txt 文件。为配置审核子系统,请尝试下面的操作:\r\n\r\n 1. 在 /etc/security/audit/objects 文件中,为 /home/test.txt 建立相应的条目。请使用下面的格式:\r\n\r\n /home/test.txt:\r\n r = \"S_NOTAUTH_READ\"\r\n w = \"S_NOTAUTH_WRITE\"\r\n \r\n\r\n\r\n S_NOTAUTH_READ 和 S_NOTAUTH_WRITE 分别是用于跟踪读操作和写操作的关键字。可以使用任何关键字来替换这两个关键字,这取决于您的具体需求。\r\n\r\n 通过在 /etc/security/audit/objects 文件中采用相同的格式为每个想要跟踪的文件建立单独的条目,您还可以使用相同的关键字跟踪多个文件。\r\n 2. 在 /etc/security/audit/config 文件中,在 classes 部分中建立如下所示的条目:\r\n\r\n classes:\r\n abusers = S_NOTAUTH_READ, S_NOTAUTH_WRITE\r\n \r\n\r\n\r\n 3. 在 /etc/security/audit/config 文件中,为所有的用户添加相应的条目,如下所示:\r\n\r\n users:\r\n root = general, abusers\r\n user1=abusers\r\n user2=abusers\r\n .\r\n .\r\n .\r\n userN=abusers\r\n \r\n \r\n\r\n\r\n 这组条目可以确保审核将报告所有用户(在这个列表中的任何用户)对 /home/test.txt 文件所执行的读写操作。如果用户的条目已经存在,那么您可以为不正常的使用者追加相应的条目,使用逗号将其与前面的条目隔开。\r\n 4. 审核提供了两种数据监视模式:\r\n * BIN 模式:将审核事件记录到两个交换使用的临时 BIN 文件中,然后将它们追加到一个审核跟踪文件中。\r\n\r\n * STREAM 模式:将审核记录写入到循环缓冲区(该缓冲区可以通过 /dev/audit 设备文件进行读取)。\r\n\r\n 在这个场景中,除了所提供的输出格式不同之外,这两者之间并没有什么重大的区别。您可以打开任何一种模式或者同时打开两种模式以收集数据。可以通过在 etc/security/audit/config 文件中建立合适的条目来打开或者关闭它们。下面的示例打开了 STREAM 模式。\r\n\r\n start:\r\n bin mode = off\r\n stream mode = on \r\n \r\n\r\n\r\n上面的步骤确保 /home/test.txt 文件处于审核子系统的观察之下。\r\n\r\n监视输出\r\n\r\n要对输出进行监视,首先使用下面的命令启动审核子系统:\r\n\r\n# audit start\r\n\r\n\r\n采用 STREAM 模式的数据收集\r\n\r\n因为在 STREAM 模式中启用了数据收集,所以您可以通过运行下面的命令来开始数据收集工作:\r\n\r\n# cat /etc/security/audit/streamcmds\r\n\r\n\r\n这个命令将提供下面的信息:\r\n\r\n/usr/sbin/auditstream | auditpr > /audit/stream.out &\r\n\r\n\r\n将审核结果写入 /audit/stream.out 文件中,可以实时地对该文件进行监视,以跟踪读写操作。\r\n\r\n典型的输出应该与下面的清单 1 所示类似。\r\n\r\n\r\n清单 1. 输出文件——采用 STREAM 模式的数据收集\r\n\r\n \r\n# tail -f /audit/stream.out\r\n\r\nevent login status time command\r\n--------------- -------- -------- --------- ---------\r\nS_NOTAUTH_READ root OK Thu May 24 14:07:05 2007 cat\r\nS_NOTAUTH_READ root OK Thu May 24 14:07:05 2007 cat\r\nFILE_Unlink root OK Thu May 24 14:07:09 2007 vi\r\nS_NOTAUTH_READ root OK Thu May 24 14:07:09 2007 vi\r\nS_NOTAUTH_READ root OK Thu May 24 14:07:09 2007 vi\r\nS_NOTAUTH_READ root OK Thu May 24 14:07:09 2007 vi\r\nS_NOTAUTH_WRITE root OK Thu May 24 14:07:13 2007 vi\r\nFILE_Unlink root OK Thu May 24 14:07:13 2007 vi\r\nFILE_Unlink root OK Thu May 24 14:07:20 2007 vi\r\nS_NOTAUTH_READ ash OK Thu May 24 14:09:39 2007 cat\r\nS_NOTAUTH_READ ash OK Thu May 24 14:09:39 2007 cat\r\n\r\n\r\n要解释该输出文件是非常简单的。例如,下面的一行内容:\r\n\r\nS_NOTAUTH_WRITE root OK Thu May 24 14:07:13 2007 vi\r\n\r\n\r\n显示了在 5 月 24 日(星期四)的 14:07:13,由 root 用户对该文件执行了一次写入操作。\n\n[ 本帖最后由 thedada99 于 2007-10-22 16:07 编辑 ] |
|
免费注册
发表于 2007-10-22 16:06