bincmds, Datei

Online bearbeiten

Zweck

Enthält die Shellbefehle, die Prüfbindaten verarbeiten.

Beschreibung

Die Datei /etc/security/audit/bincmds ist eine ASCII-Schablonendatei, die die Back-End-Befehle enthält, die Prüfbindateidatensätze verarbeiten. Der Pfadname dieser Datei ist in der Zeilengruppe bin der Datei /etc/security/audit/config definiert.

Diese Datei enthält Befehlszeilen, die jeweils aus mindestens einem Befehl mit Eingabe und Ausgabe bestehen, die über eine Pipe geleitet oder umgeleitet werden können. Obwohl es sich bei den Befehlen normalerweise um einen oder mehrere der Prüfsystembefehle handelt (Befehl Auditcat , Befehl Auditpr , Befehl Auditselect ), ist dies keine Voraussetzung.

Da jede bin-Datei vom Kernel gefüllt wird, ruft der Auditbin -Dämon jeden Befehl auf, um die bin-Datensätze zu verarbeiten, indem er die Namen der aktuellen bin-Datei und der Prüfprotokolldatei für alle $Pfad -und $fach -Zeichenfolgen in den Befehlen ersetzt. Wenn der Dämon Auditbin beim Start feststellt, dass für die Binärdateien eine Wiederherstellungsprozedur erforderlich ist, stellt der Befehl dem Namen der Binärdatei in $facheine -r vor.
Anmerkung: Die Befehle werden von der vertrauenswürdigen Shell (TSH) ausgeführt, wenn sie sich im vertrauenswürdigen Pfad befinden. Dies bedeutet, dass die Pfadnamen in den Befehlen absolut sein müssen und dass die Substitution von Umgebungsvariablen begrenzt sein kann. Weitere Informationen finden Sie in der Beschreibung des Befehls TSH .

Sicherheit

Zugriffssteuerung: Diese Datei sollte dem Rootbenutzer und den Mitgliedern der Prüfgruppe Lesezugriff (r) und dem Rootbenutzer Schreibzugriff (w) erteilen.

Beispiele

  1. Fügen Sie die folgende Zeile in die Datei /etc/security/audit/bincmds ein, um Binärdatensätze zu komprimieren und an die Systemprüfprotokolldatei anzuhängen:
    /usr/sbin/auditcat -p -o $trail $bin

    Wenn der Befehl ausgeführt wird, werden die Namen der aktuellen Binärdatei und der Systemprüfprotokolldatei durch die Zeichenfolgen $fach und $Pfad ersetzt. Datensätze werden komprimiert und an die Datei /audit/trail angehängt.

  2. Um die Prüfereignisse aus jeder Binärdatei auszuwählen, die aufgrund von Authentifizierungs-oder Berechtigungsgründen nicht erfolgreich sind, und die Ereignisse an die Datei /audit/trail.violations anzuhängen, müssen Sie die folgende Zeile in die Datei /etc/security/audit/bincmds einschließen:
    /usr/sbin/auditselect -e "result == FAIL_AUTH || \
result == FAIL_PRIV" $bin >> /audit/trail.violations
  3. Um ein Hardcopy-Prüfprotokoll aller Prüfereignisse der lokalen Benutzerauthentifizierung zu erstellen, fügen Sie die folgende Zeile in die Datei /etc/security/audit/bincmds ein:
    /usr/sbin/auditselect -e "event == USER_Login || \
event == USER_SU" $bin | \
/usr/sbin/auditpr -t2 -v >/dev/lpr3

    Passen Sie den Druckernamen an Ihre Anforderungen an.

Anmerkung: Der Befehl auditselect unterstützt das Flag -r (Wiederherstellung) nicht. Um die Zeichenfolge $bin zu verarbeiten, verwenden Sie den Befehl auditcat , bevor Sie den Befehl auditselect verwenden.

Dateien

Element Beschreibung
/etc/security/audit/bincmds Gibt den Pfad zu der Datei an.
/etc/security/audit/config Enthält Informationen zur Prüfsystemkonfiguration.
/etc/security/audit/events Enthält die Prüfereignisse des Systems.
/etc/security/audit/objects Enthält die Prüfereignisse für geprüfte Objekte (Dateien).
/etc/security/audit/streamcmds Enthält Befehle für Prüfdatenströme.