Dämon "auditbin"

Zweck

Verwaltet Ablagen von Prüfinformationen.

Syntax

auditbin

Beschreibung

Der Dämon auditbin im Prüfsubsystem verwaltet die Dateien bin1 und bin2, bei denen es sich um temporäre Ablagedateien handelt, in denen abwechselnd Prüfereignisdaten erfasst werden. Der Befehl übergibt auch Ablagedateien mit Datensätzen zur Verarbeitung an Back-End-Befehle.

Wenn Prüfereignisse eintreten, schreibt der Betriebssystemkernel einen Datensatz in eine Ablagedatei. Wenn eine Ablagedatei voll ist, liest der Dämon auditbin die Datei /etc/security/audit/bincmds und übergibt die Ablagedatensätze an die in der Datei definierten Back-End-Befehle. Jede Zeile der Datei /etc/security/audit/bincmds enthält einen oder mehrere Befehle mit Eingabe und Ausgabe, die zusammen über eine Pipe geleitet oder umgeleitet werden können. Der Dämon auditbin durchsucht jeden Befehl nach der Zeichenfolge $bin und der Zeichenfolge $trail und ersetzt diese durch den Pfadnamen der aktuellen Ablagedatei bzw. der Systemprotokolldatei.

Der Dämon auditbin stellt sicher, dass jeder Befehl jede Ablage mindestens einmal aufruft, synchronisiert den Zugriff auf die Ablagedateien aber nicht. Nachdem alle Befehle ausgeführt wurden, können in der Ablagedatei weitere Prüfdatensätze erfasst werden.

Sollte ein Befehl nicht erfolgreich sein, stoppt der Dämon auditbin die Übertragung der Datensätze und sendet alle 60 Sekunden eine Nachricht an die Einheit /dev/tty, bis der Rootbenutzer oder ein Mitglied der Gruppe "audit" den Befehl stoppt.

Sicherheit

Zugriffssteuerung

Dieser Befehl sollte nur dem Rootbenutzer und Mitgliedern der Gruppe "audit" Ausführungszugriff (e(x)ecute) erteilen. Der Befehl muss das Attribut trusted computing base haben, Eigner des Befehls muss der Rootbenutzer sein, und das setuid-Bit (SUID) muss gesetzt sein.

Dateien, auf die zugegriffen wird

Achtung RBAC-Benutzer und vertrauenswürdige AIX®: Dieser Befehl kann privilegierte Operationen durchführen. Privilegierte Operationen können nur von privilegierten Benutzern ausgeführt werden. Weitere Informationen zu Berechtigungen und Autorisierungen finden Sie im Abschnitt "Privileged Command Database" in der Veröffentlichung Security. Eine Liste der Privilegien und Berechtigungen für diesen Befehl finden Sie in den Beschreibungen des Befehls lssecattr und des Unterbefehls getcmdattr.

Beispiele

1. Zum Konfigurieren des Dämons auditbin bearbeiten Sie die Zeilengruppen "start" und "bin" in der Datei /etc/security/audit/config und fügen die folgenden Attributdefinitionen hinzu:

   start:
            binmode = on
    
   bin:
            trail = /audit/trail
            bin1 = /audit/bin1
            bin2 = /audit/bin2
            binsize = 25000
            cmds = /etc/security/audit/bincmds

2. Zum Definieren der Befehle, die das Prüfprotokoll verarbeiten, bearbeiten Sie die Datei /etc/security/audit/bincmds und fügen eine oder mehrere Befehlszeilen wie die folgenden hinzu:

   /usr/sbin/auditcat -p -o $trail $bin
     
   /usr/sbin/auditselect -e "event == USER_Login" \
   $bin | /usr/sbin/auditpr >> /etc/log 

   Die erste Befehlszeile hängt komprimierte Prüfdatenablagedateien an die Prüfprotokolldatei an. Die zweite Zeile wähltUSER_LoginDatensätze aus jeder BIN-Datei, übergibt sie an dieauditprBefehl für die Formatierung und hängt die Datensätze an die Datei /etc/log an.
3. Wenn Sie im Dämon auditbin virtuelle Protokolle aktivieren möchten, um Prüfdatensätze an einer zentralen Stelle, z. B. in einem VIOS-System (Virtual I/O Server) zu erfassen, fügen Sie der Zeilengruppe "bin" in der Datei /etc/security/audit/config das folgende Attribut hinzu:

   bin:
   		virtual_log = /dev/vlog0 

   Anmerkung: Der Einheitenpfad /dev/vlog0 ist ein Beispiel. Der echte Einheitenname kann auf jeder logischen Clientpartition (LPAR) verschieden sein, je nachdem, wie die virtuellen Protokolle über ein angeschlossenen VIOS-System konfiguriert wurden.

Dateien