Setting up auditing

Online bearbeiten

In diesem Verfahren wird gezeigt, wie ein Prüfsubsystem eingerichtet wird. Spezifischere Informationen finden Sie in den Konfigurationsdateien, die in diesen Schritten beschrieben werden.

  1. Wählen Sie Systemaktivitäten (Ereignisse) aus der Liste in der Datei /etc/security/audit/events aus, die geprüft werden sollen. Wenn Sie Anwendungen oder Kernelerweiterungen neue Prüfereignisse hinzugefügt haben, müssen Sie die Datei bearbeiten, um die neuen Ereignisse hinzuzufügen.
    • Sie fügen dieser Datei ein Ereignis hinzu, wenn Sie Code zur Protokollierung dieses Ereignisses in einem Anwendungsprogramm (mit der Subroutine auditwrite oder auditlog ) oder in einer Kernelerweiterung (mit den Kernel-Services audit_svcstart, audit_svcbcopyund audit_svcfinis ) eingeschlossen haben.
    • Stellen Sie sicher, dass Formatierungsanweisungen für neue Prüfereignisse in der Datei /etc/security/audit/events enthalten sind. Mit diesen Spezifikationen kann der Befehl auditpr ein Prüfprotokoll schreiben, wenn er Prüfdatensätze formatiert.
  2. Gruppieren Sie Ihre ausgewählten Prüfereignisse in Gruppen ähnlicher Elemente, die als Prüfklassen bezeichnet werden. Definieren Sie diese Prüfklassen in der Zeilengruppe 'classes' der Datei /etc/security/audit/config.
  3. Ordnen Sie die Prüfklassen den einzelnen Benutzern zu und ordnen Sie den Dateien (Objekten), die Sie prüfen möchten, wie folgt Prüfereignisse zu:
    • Wenn Sie einem einzelnen Benutzer Prüfklassen zuordnen möchten, fügen Sie eine Zeile zur Benutzerzeilengruppe der Datei /etc/security/audit/config hinzu. Wenn Sie einem Benutzer Prüfklassen zuordnen möchten, können Sie den Befehl chuser verwenden.
    • Zum Zuordnen von Prüfereignissen zu einem Objekt (Daten oder ausführbare Datei) fügen Sie der Datei /etc/security/audit/objects eine Zeilengruppe für diese Datei hinzu.
    • Sie können auch Standardprüfklassen für neue Benutzer angeben, indem Sie die Datei /usr/lib/security/mkuser.default bearbeiten. Diese Datei enthält Benutzerattribute, die bei der Generierung neuer Benutzer-IDs verwendet werden. Verwenden Sie beispielsweise die Prüfklasse general wie folgt für alle neuen Benutzer-IDs:
      user:
    auditclasses = general
    pgrp = staff
    groups = staff
    shell = /usr/bin/ksh
    home = /home/$USER

      Wenn Sie alle Prüfereignisse abrufen möchten, geben Sie die Klasse ALL an. Wenn Sie dies auf einem mäßig ausgelasteten System vornehmen, wird eine riesige Menge an Daten generiert. In der Regel ist es praktischer, die Anzahl der aufgezeichneten Ereignisse zu begrenzen.

  4. Konfigurieren Sie in der Datei /etc/security/audit/config den Typ der Datenerfassung, die mit der BIN-Erfassung, der STREAM-Erfassung oder beiden Methoden verwendet werden soll. Stellen Sie sicher, dass die Prüfdaten nicht mit anderen Daten um Dateibereich konkurrieren, indem Sie ein separates Dateisystem für Prüfdaten verwenden. Auf diese Weise wird sichergestellt, dass genügend Speicherplatz für die Prüfdaten vorhanden ist. Konfigurieren Sie den Typ der Datenerfassung wie folgt:
    • So konfigurieren Sie die BIN-Erfassung:
      1. Aktivieren Sie die Erfassung des BIN-Modus, indem Sie binmode = on in der Startzeilengruppe festlegen.
      2. Bearbeiten Sie die Zeilengruppe 'binmode', um die Ablagedateien und Protokolle zu konfigurieren, und geben Sie den Pfad der Datei an, die die Back-End-Verarbeitungsbefehle des BIN-Modus enthält. Die Standarddatei für Back-End-Befehle ist die Datei /etc/security/audit/bincmds.
      3. Stellen Sie sicher, dass die Prüfdatenablagedateien für Ihre Anforderungen groß genug sind, und setzen Sie den Parameter freespace entsprechend fest, um einen Alert zu erhalten, wenn das Dateisystem voll wird.
      4. Fügen Sie die Shellbefehle ein, die die Prüfdatenablagedateien in einer Prüfpipe in der Datei /etc/security/audit/bincmds verarbeiten.
    • So konfigurieren Sie die STREAM-Erfassung:
      1. Aktivieren Sie die Erfassung im STREAM-Modus, indem Sie streammode = on in der Startzeilengruppe festlegen.
      2. Bearbeiten Sie die Zeilengruppe 'streammode', um den Pfad zu der Datei mit den Befehlen zur Verarbeitung von 'streammode' anzugeben. Die Standarddatei, die diese Informationen enthält, ist die Datei /etc/security/audit/streamcmds.
      3. Fügen Sie die Shellbefehle ein, die die Datenstromdatensätze in einer Prüfpipe in der Datei /etc/security/audit/streamcmds verarbeiten.
  5. Wenn Sie die erforderlichen Änderungen an den Konfigurationsdateien abgeschlossen haben, können Sie den Befehl audit start verwenden, um das Prüfsubsystem zu aktivieren. Dadurch wird das Ereignis AUD_It mit dem Wert 1 generiert.
  6. Verwenden Sie den Befehl audit query, um festzustellen, welche Ereignisse und Objekte geprüft werden. Dadurch wird das Ereignis AUD_It mit dem Wert 2 generiert.
  7. Verwenden Sie den Befehl audit shutdown, um das Prüfsubsystem erneut zu inaktivieren. Dadurch wird das Ereignis AUD_It mit dem Wert 4 generiert.