Аудит безопасности IBM AIX на LDAP-сервере

Настройка подсистемы аудита AIX на LDAP-сервере

В этой статье рассматривается процесс настройки подсистемы аудита безопасности IBM® AIX® на LDAP-сервере. Предлагаемый метод может использоваться администраторами для загрузки конфигурационного файла аудита на все клиентские компьютеры, использующие заданный LDAP-сервер.

Ума М. Чандолу, разработчик программного обеспечения, IBM

фотография Ума ЧандолуУма М. Чандолу (Uma M. Chandolu) - разработчик AIX и специалист поддержки подсистемы безопасности AIX из IBM India Systems and Technology Lab. Он два года занимался практическими вопросами безопасности AIX. Ума специализируется на безопасности AIX и является экспертом по администрированию AIX и программированию ее подсистемы безопасности. С ним можно связаться по адресу электронной почты uchandol@in.ibm.com.



21.05.2014

Краткий обзор

Подсистема аудита AIX записывает важную информацию относительно безопасности системы, а также уведомляет администраторов о потенциальных или уже возникших проблемах, связанных с безопасностью. Например, с ее помощью администратор может определить, кто изменил важные системные файлы, а также узнать о попытках неудачного входа в систему или получения привилегий суперпользователя (это может означать, что кто-то пытается получить неавторизованный доступ к управлению системой).

Администратор должен позаботиться о том, чтобы защитить подобные данные, связанные с подсистемой аудита, от злоумышленников. В противном случае система может быть взломана без всяких следов, указывающих на то, что именно могло произойти. Аудит безопасности является одной из мер, которые системные администраторы могут использовать наряду с другими методами защиты системы от несанкционированного вторжения и отслеживания попыток взлома.

Подсистема аудита безопасности выполняет следующие функции:

  • Отслеживает события в системе.
  • Собирает информацию об этих событиях.
  • Обрабатывает полученную информацию.

Включение подсистемы аудита в AIX

Для включения подсистемы аудита в AIX используются следующие файлы:

  1. /etc/security/audit/config – используется для выбора событий и пользователей, отслеживаемых подсистемой аудита
  2. /etc/security/audit/objects – содержит информацию об объектах и файлах подлежащих аудиту. Файлы, за которыми необходимо вести наблюдение, указываются администратором.
  3. /etc/security/audit/events – содержит информацию о системных действиях (событиях), за которыми необходимо вести наблюдение.

Необходимые требования и ограничения

Рассматриваемая функциональность доступна в AIX начиная с версий AIX 6.1 Tl09 и AIX 7.1 Tl03. Читатели должны быть знакомы с механизмами аудита и LDAP-аутентификации в AIX. В статье рассматриваются только вопросы настройки конфигурационных файлов подсистемы аудита на LDAP-сервере. На текущий момент эта функциональность доступна только при работе с IBM Tivoli® Directory Server.

Конфигурирование подсистемы аудита безопасности для LDAP

Рассматриваемая функциональность позволяет конфигурировать подсистему аудита AIX и сохранять ее конфигурационные файлы на LDAP-сервере. Эти конфигурационные файлы затем можно загружать на LDAP-клиенты, активируя таким образом аудит на клиентских системах.

Для преобразования файла /etc/security/audit/config в формат LDIF (LDAP Data Interchange Format) и его загрузки на LDAP-сервер была разработана новая команда – auditldap. Для подключения к LDAP-серверу и загрузки конфигурационного файла команда auditldap использует уникальное имя (dn) и пароль пользователя bind. Выполнять команду auditldap может только пользователь root.

Пошаговые инструкции по включению подсистемы аудита AIX для LDAP

  1. Предполагается, что вы уже знакомы с конфигурированием сервера и клиентов LDAP. Если же вы не умеете этого делать, обратитесь к статье "Настройка и использование LDAP-сервера в операционной системе AIX".

    Начиная с AIX версии 6.1 Tl09, по завершении настройки LDAP-сервера схема аудита по умолчанию загружается на LDAP-сервер. Если же LDAP-сервер был сконфигурирован в AIX предыдущих технологических версий, вам необходимо загрузить схему подсистемы аудита (обратитесь к разделу Загрузка) на LDAP-сервер вручную с помощью команды ldapadd.

    Пример: ldapadd -h pci2.in.ibm.com -D cn=admin -w adminpwd -i audit.ldif

    После этого убедитесь, что схема подсистемы аудита успешно сохранена на LDAP-сервере.

    Пример: ldapsearch -h pci2.in.ibm.com -D cn=admin -w adminpwd -s base -b cn=schema 
    objectclass=* | grep -i ibm-aixAuditConfig
  2. Запустите на LDAP-клиентах команду auditldap, чтобы загрузить файлы /etc/security/audit/config на LDAP-сервер.
    auditldap -a -b cn=aixdata -D cn=admin -w adminpwd

    Если вы измените конфигурационный файл на LDAP-клиенте после того, как он был загружен на LDAP-сервер, необходимо обновить его серверную копию при помощи команды auditldap, запущенной с параметром -u.
    auditldap -u -b o=ibm -D cn=admin -w adminpwd -f /etc/security/audit/config
  3. После загрузки конфигурационных файлов подсистемы аудита необходимо либо перенастроить LDAP-клиент с помощью команды mksecldap, либо вручную добавить в файл /etc/security/ldap/ldap.cfg записи "Base Dn" auditconfdn и auditclassdn и перезапустить демон LDAP-клиента.
    mksecldap -c -h <ldap servername> -a <bind dn> -p <bidnpwd> -S <schema> 
    или
    #Записи Base Dn для хранилища конфигурационных данных подсистемы аудита на LDAP-сервере.
    auditconfdn:ou=auditconfig,ou=audit,cn=aixdata
    auditclassdn:ou=auditclassstanza,ou=audit,cn=aixdata
  4. Для перезапуска демона LDAP-клиента выполните следующую команду.
    /usr/sbin/restart-secldapclntd
  5. С помощью команды lsldap удостоверьтесь, что классы и информация конфигурационного файла аудита сохранены на LDAP-сервере. Следующая команда выводит информацию о классах аудита, хранящуюся на LDAP-сервере.
    #lsldap -a auditclass

    Следующая команда выводит информацию о конфигурации подсистемы аудита, хранящуюся на LDAP-сервере.
    #lsldap -a auditconfig
    Примечание. На текущий момент команда auditldap позволяет загружать на LDAP-сервер только один конфигурационный файл. По умолчанию конфигурационный файл называется config.

Загрузка конфигурационных файлов подсистемы аудита на LDAP-клиент

В файле /etc/nscontrol.conf представлен новый раздел, позволяющий указывать модуль для обработки конфигурационного файла подсистемы аудита: при включении аудита можно использовать либо модуль LDAP, либо модуль Files. Чтобы загружать конфигурационный файл с LDAP-сервера на LDAP-клиент, присвойте атрибуту secorder в разделе auditconfig файла /etc/nscontrol.conf значение LDAP. Команда audit start связана с файлом /etc/nscontrol.conf и загружает конфигурационный файл на основе значения атрибута secorder.

Пример: 
# tail -f /etc/nscontrol.conf 
auditconfig:
secorder = LDAP,files

После того как вы присвоите значение атрибуту secorder, запустите команду audit start для включения аудита на LDAP-клиентах.

Таблица 1. Порядок выполнения операций в зависимости от значения атрибута secorder
Значение атрибута secorderДействия команды audit startПримечания
filesПолучает информацию из локального файла /etc/security/audit/config.Примечаний нет.
LDAPПолучает информацию из раздела auditconfig LDAP-сервера. На LDAP-клиент загружается из каталога LDAP вся конфигурационная информация за исключением разделов virtual_log и wpar. Информация данных разделов всегда берется из локального файла /etc/security/audit/config.
LDAP, filesСначала получает всю информацию из раздела auditconfig LDAP-сервера; информация о классах, отсутствующих в каталоге LDAP, берется из файла /etc/security/audit/config. Если в каталоге LDAP и конфигурационных файлах имеются классы подсистемы аудита с одинаковым названием (например "general"), то команда audit start использует только класс, определенный в каталоге LDAP. Значения атрибута auditclass, указанные в обоих модулях загрузки, не объединяются. В ядро загружаются только первые 32 класса.
files, LDAPСначала получает всю информацию из файла /etc/security/audit/config; с LDAP-сервера берется информация только о тех классах, которые отсутствуют в данных файлах.В ядро загружаются только первые 32 класса.

На текущий момент для вступления в силу изменений, сделанных в конфигурационном файле /etc/security/audit, необходимо перезапустить демон подсистемы аудита. Конфигурационный файл может храниться на LDAP-сервере. Чтобы изменения, сделанные на LDAP-сервере, вступили в силу на LDAP-клиенте, необходимо перезапустить демон подсистемы аудита. Поскольку необходимость перезапуска демона на каждом LDAP-клиенте отнимает время, для решения этой проблемы в файл /etc/security/ldap/ldap.cfg были добавлены следующие атрибуты.

auditpolicy

С помощью этого атрибута можно выбрать действие, которое необходимо выполнять после внесения любых изменений в конфигурацию подсистемы аудита на LDAP-сервере. Этот атрибут действует только при использовании атрибута auditinterval. Атрибут auditpolicy принимает два значения – WARN и RESTART.

Если используется параметр WARN, то при любом изменении конфигурации подсистемы аудита на LDAP-сервере в syslog-файл записывается соответствующее событие. Это помогает определять необходимость перезапуска подсистемы аудита на LDAP-клиентах.

Если используется параметр RESTART, то при любом изменении конфигурации подсистемы аудита в LDAP на LDAP-клиентах автоматически перезапускается демон.

auditrefresh

С помощью этого атрибута можно указать периодичность, с которой LDAP-клиент должен проверять конфигурацию подсистемы аудита LDAP-сервера на предмет внесенных изменений. Значение атрибута auditrefresh задается в секундах; значение '0' означает, что этот атрибут отключен.

Если атрибут audirefresh имеет отличное от нуля значение, то демон secldapclntd выполняет действие, определенное атрибутом auditpolicy. Таким образом, при изменении конфигурации подсистемы аудита на LDAP-сервере выполняется действие, указанное в атрибуте auditpolicy – перезапуск демона либо запись сообщения в syslog. Время можно указывать как в секундах, так и в 24-часовом формате (для этого перед числовым значением следует поставить символ 'T').

Примечание. Атрибут auditpolicy необходимо включить на LDAP-клиенте. По умолчанию этот атрибут отключен.

Ресурсы

Научиться

Обсудить

  • Присоединяйтесь к сообществу developerWorks (EN). Связывайтесь с другими пользователями developerWorks и знакомьтесь с блогами, форумами, группами и вики-ресурсами, ориентированными на разработчиков.

Загрузка

ОписаниеИмяРазмер
Файл схемы подсистемы аудитаaudit.zip1 КБ

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=971941
ArticleTitle=Аудит безопасности IBM AIX на LDAP-сервере
publish-date=05212014