config File

Online bearbeiten

Zweck

Enthält Konfigurationsinformationen für das Prüfsystem.

Beschreibung

Die Datei /etc/security/audit/config ist eine ASCII-Zeilengruppendatei, die Informationen zur Prüfsystemkonfiguration enthält. Diese Datei enthält fünf Zeilengruppen: Start, Klasse, Stream, Klassenund Benutzer.

Zeilengruppe 'start'

Die Zeilengruppe Start enthält die Attribute, die vom Prüfstart -Befehl zum Initialisieren des Prüfsystems verwendet werden. Das folgende Format wird verwendet:

start:
 fullpath = off | on
 binmode = off | on | panic
 streammode = off | on
 ignorenonexistentity = no | yes

Die Attribute sind wie folgt definiert:

Attribut Definition
Binärmodus Steuert, ob die in der Zeilengruppe 'bin' definierte Klassensammlung verwendet wird.
Aus
Fachsammlung wird nicht verwendet. Dies ist der Standardwert.
on
Die Fachsammlung wird verwendet. Dieser Wert startet den Dämon Auditbin .
Panik
Die Fachsammlung wird verwendet. Dieser Wert startet den Dämon Auditbin . Wenn ein Prüfdatensatz nicht in ein Bin geschrieben werden kann, beendet der Kernel das Betriebssystem. Dieser Modus sollte für Bedingungen angegeben werden, unter denen das System ordnungsgemäß arbeiten muss.
Vollständiger Pfad Erfasst den vollständigen Pfadnamen einer Datei für die Prüfereignisse FILE_Open, FILE_Read und FILE_Write.
Aus
Der vollständige Pfadname wird nicht aufgezeichnet. Dies ist der Standardwert.
on
Der vollständige Pfadname wird aufgezeichnet.
ignorenonexistentity (vorhandene Entität ignorieren) Steuert, ob nicht vorhandene Entitäten, die in der Datei etc/security/audit/config aufgelistet sind, während der Prüfoperation ignoriert werden. Das Attribut ignorenonexistentity enthält die folgenden gültigen Werte:
nein
Die Prüfoperation wird nicht gestartet, wenn während des Befehls audit start nicht vorhandene Entitäten gefunden werden. Dies ist der Standardwert.
ja
Die Prüfoperation ignoriert nicht vorhandene Einträge.
Datenstrommodus Steuert, ob die Datenstromdatenerfassung, die in der in der Zeilengruppe 'stream' angegebenen Datei definiert ist (normalerweise die Datei /etc/security/audit/streamcmds ), beim Start des Prüfsystems konfiguriert wird.
Aus
Die Erfassung von Datenstromdaten ist nicht aktiviert. Dies ist die Standardeinstellung.
on
Die Erfassung von Datenstromdaten ist aktiviert.
Anmerkung: Wenn kein Erfassungsmodus definiert ist oder wenn sich beide Modi im Status Aus befinden, erfolgt nur die Subsystemkonfiguration.

bin-Zeilengruppe

Die Zeilengruppe Klasse enthält die Attribute, die vom Auditbin -Dämon verwendet werden, um die Prüfung im Binärmodus einzurichten. Das Format lautet wie folgt:
bin:
  trail = PathName
  bin1 = PathName
  bin2 = PathName
  binsize = DecimalString
  cmds = PathName
  bytethreshold = DecimalString
  eventthreshold = DecimalString
  freespace = DecimalString
  backuppath = DirectoryPath
  backupsize = DecimalString
  virtual_log = PathName
  bincompact =  off | on

Die Parameter für den Klassenmodus sind wie folgt definiert:

Parameter Definition
Protokoll Gibt den Pfadnamen der Prüfprotokolldatei an. Wenn dies definiert ist, kann der Dämon Auditbin den Pfadnamen der Prüfprotokolldatei durch die Zeichenfolge $Pfad in den von ihm aufgerufenen Back-End-Befehlen ersetzen.
bin1 Gibt den Pfadnamen an, den der Auditbin -Dämon für seine primäre Binärdatei verwendet. Wenn die Zeichenfolge $fach der Parameterwert ist, ersetzt der Dämon Auditbin den Namen der aktuellen Binärdatei.
bin2 Gibt den Pfadnamen an, den der Auditbin -Dämon für seine sekundäre Binärdatei verwendet. Wenn die Zeichenfolge $fach der Parameterwert ist, ersetzt der Dämon Auditbin den Namen der aktuellen Binärdatei.
Bincompact Gibt an, ob der Modus für kompaktes Prüfprotokoll für die Prüfung im Binärmodus aktiviert werden soll Die beiden möglichen Werte sind on und off. Der Standardwert ist "off".
Binärgröße Gibt eine dezimale Ganzzahlzeichenfolge an, die die Schwellenwertgröße (in Byte) jedes Prüffachs definiert. Wenn der Parameter Binärgröße auf 0 gesetzt ist, findet kein Klassenwechsel statt und die gesamte Klassensammlung wird an bin1übergeben.
cmds Gibt den Pfadnamen der Datei an, die die vom Dämon Auditbin aufgerufenen Audit-Back-End-Befehle enthält. Die Datei enthält Befehlszeilen, die jeweils aus einem oder mehreren Back-End-Befehlen mit Eingabe und Ausgabe bestehen, die über eine Pipe geleitet oder umgeleitet werden können. Weitere Informationen finden Sie in der Beschreibung der Datei /etc/security/audit/bincmds .
Byteschwellenwert Gibt die dezimale Ganzzahlzeichenfolge an, die die ungefähre Anzahl Byte definiert, die in ein Prüffach geschrieben werden, bevor eine synchrone Aktualisierung ausgeführt wird. Wenn Byteschwellenwert auf 0 gesetzt ist, ist diese Funktion inaktiviert. Sowohl Byteschwellenwert als auch Ereignisschwellenwert können gleichzeitig verwendet werden.
Ereignisschwellenwert Gibt eine dezimale ganze Zahl an, die die maximale Anzahl von Ereignissen definiert, die in ein Prüffach geschrieben werden, bevor eine synchrone Aktualisierung ausgeführt wird. Wenn Ereignisschwellenwert auf 0 gesetzt ist, ist diese Funktion inaktiviert. Sowohl Ereignisschwellenwert als auch Byteschwellenwert können gleichzeitig verwendet werden.
Freier Speicherbereich Gibt eine ganzzahlige Dezimalzeichenfolge an, die die empfohlene Anzahl freier 512-Byte-Blöcke in dem Dateisystem definiert, in dem sich die Prüflistendatei befindet. Wenn der freie Speicherplatz des Dateisystems unter diesem Wert liegt, generiert die Prüfung bei jedem Wechsel des Prüffachs über das Syslog -Subsystem eine Warnung. Der Standardwert ist 65536 Blöcke (64 Megabyte). Der maximal zulässige Wert ist 4194303 (ca. 2 GB freier Speicherplatz). Wenn dieser Wert auf 0 gesetzt ist, wird keine Warnung generiert. Wenn der gültige Backuppath angegeben wird und der freie Speicherplatz des Dateisystems unter diesem Wert liegt, erstellt Auditcat die Sicherung der Prüflistendatei in diesem Pfad jedes Mal, wenn auditbin den Auditcataufruft.
Backuppath Gibt den absoluten Pfadnamen des Verzeichnisses an, in das die Sicherung der Systemprüfprotokolldatei kopiert werden muss, wenn die Größe der Systemprüfprotokolldatei den Wert des Parameters backupsize erreicht. Wenn Sie diesen Parameter festlegen, muss der auditcat -Befehl in der Datei bincmds die Anweisung -d $backuppath enthalten, damit die Änderung des absoluten Pfadnamens des Verzeichnisses wirksam wird. Weitere Informationen finden Sie in der Beschreibung des Befehls auditcat .
Anmerkung: Das im Parameter backuppath angegebene Verzeichnis darf sich nicht in demselben Dateisystem befinden, in dem sich die Systemprüfprotokolldatei befindet.
Sicherungsgröße Gibt eine ganzzahlige Dezimalzeichenfolge an, die die empfohlene Anzahl von 512-Byte-Blöcken in der Systemprüfprotokolldatei definiert. Wenn die Größe der Prüflistendatei größer-gleich diesem Wert ist, wird eine Sicherung der Prüfliste erstellt. Der Standardwert ist leer (die Sicherung ist inaktiviert). Der maximal mögliche Wert ist 4194303 (ca. 2 GB freier Plattenspeicherplatz). Wenn der Wert kleiner als null oder ein ungültiger Wert ist, wird dieser Parameter ignoriert. Wenn Sie diesen Parameter festlegen, muss der auditcat -Befehl in der Datei bincmds die -d $backupsize -Anweisung enthalten, damit die Änderung der Größe der Systemprüfprotokolldatei wirksam wird. Weitere Informationen finden Sie in der Beschreibung des Befehls auditcat .
Virtuelle_Protokoll Gibt den Pfadnamen für eine Virtuelle_Protokoll -Einheit an Die Funktion für virtuelle Protokolle kann vom Auditbin -Dämon verwendet werden, um Prüfdatensätze in ein angehängtes VIOS-System zu schreiben. Um die Virtuelle_Protokoll -Einheit in einer Client-LPAR zu aktivieren, müssen Sie zuerst die entsprechende vlog -Einheit auf dem angeschlossenen VIOS-System konfigurieren und dann eine neu erstellte Einheit auf einem Client angeben (z. B. kann /dev/vlog0 -Einheit angegeben werden).

stream, Zeilengruppe

Die Zeilengruppe Stream enthält die Attribute, die der Befehl Prüfstart verwendet, um die anfängliche Prüfung im Datenstrommodus einzurichten. Das Format lautet wie folgt:

cmds = PathName

Der Parameter PathName gibt die Datei an, die die Datenstrombefehle enthält, die bei der Initialisierung des Prüfsystems ausgeführt werden. Diese Befehle können Shell-Piping und -Umleitung verwenden, aber es erfolgt keine Substitution von Pfadnamen für $Pfad -oder $fach -Zeichenfolgen.

classes, Zeilengruppe

Die Zeilengruppe Klassen definiert Prüfklassen (Gruppen von Prüfereignissen) für das System.

Jeder Prüfklassenname muss kürzer als 16 Zeichen sein und auf dem System eindeutig sein. Jede Klassendefinition muss in einer einzigen Zeile enthalten sein, wobei eine neue Zeile als Begrenzer zwischen Klassen dient. Das System unterstützt bis zu 32 Prüfklassen mit ALL als letzter Klasse. Die Prüfereignisse in der Klasse müssen in der Datei /etc/security/audit/events definiert sein.

classes:
        auditclass = auditevent, ...auditevent

Zeilengruppe 'users'

Die Zeilengruppe Benutzer definiert Prüfklassen (Gruppen von Ereignissen) für jeden Benutzer. Die Klassen sind für den Betriebssystemkernel definiert.

Das Format ist:

users:
    UserName = auditclass, ... auditclass

Jedes Attribut UserName muss der Anmeldename eines Systembenutzers oder die Zeichenfolge sein.default, und jeder Parameter Auditklasse sollte in der Zeilengruppe Klassen definiert werden.

Verwenden Sie den Befehl Benutzer chuser mit dem Attribut Auditklassen , um die Prüfaktivitäten für einen Benutzer einzurichten.

Zeilengruppe 'role'

Die Zeilengruppe 'role' definiert Prüfklassen (Ereignisgruppen) für jede Rolle. Die Klassen werden für den Betriebssystemkernel definiert.

Die Zeilengruppe 'role' hat folgendes Format:
role:
    RoleName = auditclass, ... auditclass

Jedes Attribut RoleName muss der Name einer Systemrolle oder die Zeichenfolge sein.defaultund jeder Parameter Auditklasse muss in der Zeilengruppe Klassen definiert werden.

Verwenden Sie den Befehl Chrole mit dem Attribut Auditklassen , um die Prüfaktivitäten für eine Rolle einzurichten.

Zeilengruppe 'WPARS'

Die Zeilengruppe WPARS definiert Prüfklassen (Gruppen von Ereignissen) für jede Workload-Partition (WPAR). Die Klassen sind für den Betriebssystemkernel definiert.

Die Zeilengruppe WPARS hat das folgende Format:

WPARS:
    wpar_name = auditclass, ... auditclass
Jede WPAR-Name muss der WPAR -Name eines Systems sein. Sie müssen jeden Parameter Auditklasse in der Zeilengruppe Klassen definieren.

Sicherheit

Zugriffssteuerung: Diese Datei sollte dem Rootbenutzer und den Mitgliedern der Prüfgruppe Lesezugriff (r) und dem Rootbenutzer Schreibzugriff (w) erteilen.

Ereignis Informationen
AUD_CONFIG_WR Dateiname

Beispiele

  1. Fügen Sie zum Definieren von Prüfklassen eine Zeile zur Zeilengruppe classes der Datei /etc/security/audit/config für jede Gruppe von Ereignissen hinzu, die Sie einer Klasse zuordnen möchten:
    classes:
  general = USER_SU,PASSWORD_Change,FILE_Unlink,
    FILE_Link,FILE_Remove
  system = USER_Change,GROUP_Change,USER_Create,
    GROUP_Create
  init = USER_Login, USER_Logout

    Diese speziellen Prüfereignisse und Prüfklassen werden in "Prüfung einrichten" in Betriebssystem-und Einheitenmanagementbeschrieben.

  2. Verwenden Sie zum Einrichten der Prüfaktivitäten für jeden Benutzer den Befehl Benutzer chuser mit dem Attribut Auditklassen für jeden Benutzer, für den Sie Prüfklassen (Gruppen von Prüfereignissen) definieren wollen:
    chuser "auditclasses=general,init,system" dave
chuser "auditclasses=general,init" mary
    Diese chuser -Befehle erstellen die folgenden Zeilen in der Zeilengruppe users der Datei /etc/security/audit/config :
    users:
 dave=general,init,system
 mary=general,init
    Diese Konfiguration umfasst dave, den Administrator des Systems und mary, einen Mitarbeiter, der Informationen aktualisiert.
  3. Um das Prüfsystem zu aktivieren, die Erfassung von Binärdaten zu aktivieren und die Erfassung ursprünglicher Datenstromdaten zu inaktivieren, fügen Sie Folgendes zur Zeilengruppe start der Datei /etc/security/audit/config hinzu:
    start:
  binmode = on
  streammode = off
  4. Fügen Sie der Zeilengruppe bin der Datei /etc/security/audit/config Attribute hinzu, damit der Dämon auditbin die Erfassung bin konfigurieren kann:
    bin:
  trail = /audit/trail
  bin1 = /audit/bin1
  bin2 = /audit/bin2
  binsize = 25000
  cmds = /etc/security/audit/bincmds

    Die Attributwerte in der vorherigen Zeilengruppe ermöglichen es dem Prüfsystem, Binärdateien mit Daten zu erfassen und die Datensätze in einem langfristigen Prüfprotokoll zu speichern.

  5. Fügen Sie den Zeilengruppen start und stream der Datei /etc/security/audit/config Zeilen hinzu, damit der Dämon auditbin die Datenstromsammlung einrichten kann:
    start:
  streammode = on
stream:
  cmds = /etc/security/audit/streamcmds
  6. Damit die wpar1 -WPAR die Klassen general, tcpipund lvm prüfen kann, fügen Sie die folgenden Zeilen zur Zeilengruppe WPARS der Datei /etc/security/audit/config hinzu:
    WPARS:
	  wpar1 = general,tcpip,lvm
  7. Fügen Sie das folgende Attribut zur Zeilengruppe 'bin' der Datei /etc/security/audit/config hinzu, um die virtuellen Protokolle im Dämon auditbin für die Erfassung von Prüfdatensätzen an einem zentralen Ort zu aktivieren, z. B. in einem VIOS-System ( Virtual I/O Server ):
    bin:
		virtual_log = /dev/vlog0
    Anmerkung: Der Einheitenpfad /dev/vlog0 ist ein Beispiel. Der echte Einheitenname kann auf jeder logischen Clientpartition (LPAR) verschieden sein, je nachdem, wie die virtuellen Protokolle über ein angeschlossenen VIOS-System konfiguriert wurden.

Dateien

Element Beschreibung
/etc/security/audit/config Gibt den Pfad zu der Datei an.
/etc/security/audit/objects Enthält Prüfereignisse für geprüfte Objekte.
/etc/security/audit/events Enthält die Prüfereignisse des Systems.
/etc/security/audit/bincmds Enthält Back-End-Befehle für die Prüfdatenablagedatei.
/etc/security/audit/streamcmds Enthält Befehle für Prüfdatenströme.