arquivo de config

Propósito

Contém informações sobre a configuração do sistema de auditoria.

Descrição

O arquivo " /etc/security/audit/config é um arquivo de estrofe ASCII que contém informações sobre a configuração do sistema de auditoria. Esse arquivo contém cinco estrofes: start, ' bin, ' stream, ' classes e ' users.

start sub-rotina

A estrofe " start contém os atributos que são usados pelo comando " audit start para inicializar o sistema de auditoria. A estrofe " start tem o seguinte formato:

start:
 fullpath = off | on
 binmode = off | on | panic
 streammode = off | on
 ignorenonexistentity = no | yes

Os atributos são definidos da seguinte forma:

Tabela 1. Atributos de ' start estrofe

Atributo	Definição
binmode	Controla se a coleta de bin, conforme definido na estrofe de bin, é usada. off A coleta de bin não é usada. O valor padrão é " off. on A coleta de bin é usada. Esse valor inicia o daemon ' auditbin. panic A coleta de bin é usada. Esse valor inicia o daemon ' auditbin. Se um registro de auditoria não puder ser gravado em um bin, o kernel embarca para baixo o sistema operacional. Esse modo deve ser especificado para condições durante as quais o sistema deve estar funcionando corretamente.
fullpath	Captura o nome do caminho completo de um arquivo ou de um arquivo executável para o ' FILE_Open, ' FILE_Openxat, ' FILE_Read, ' FILE_Write, ' FILE_Link, ' FILE_Linkat, ' FILE_Unlink, ' FILE_Unlinkat, ' FILE_Rename, ' FILE_Renameat, ' FILE_Owner, ' FILE_Mode, ' FILE_Fchmod, ' FILE_Fchmodat, ' FILE_Fchown, FILE_Fchownat, ' FILE_Truncate, ' FILE_Symlink, ' FILE_Symlinkat, ' FILE_Setea, ' FILE_Removeea, ' FILE_Utimes, ' FS_Chroot, ' FILE_Mknod, ' FILE_Mknodat, ' FILE_Acl, ' FILE_Facl, ' FILE_Chpriv, ' FILE_Fchpriv, ' FILE_WriteXacl, ' FILE_Revoke, ' FILE_Frevoke, ' PROC_Execute e ' PROC_LPExecute eventos de auditoria. off O nome completo do caminho não é registrado. O valor padrão é " off. on O nome completo do caminho é registrado.
ignorenonexistentity	Controla se entidades inexistentes que estão listadas no arquivo etc/security/audit/config são ignoradas durante a operação de auditoria. O atributo ignorenonexistentity contém os seguintes valores válidos: no A operação de auditoria não é iniciada se entidades inexistentes forem encontradas durante o comando audit start . Esse é o valor padrão. yes A operação de auditoria ignora entradas inexistentes.
streammode	Controla se a coleta de dados de fluxo, conforme definido no arquivo especificado na estrofe de fluxo (normalmente o arquivo ' /etc/security/audit/streamcmds ), é configurada no início do sistema de auditoria. off A coleta de dados do fluxo não está ativada. É o valor padrão. on A coleta de dados do fluxo está ativada.
tcp_enable_all_kevents	Controla se os eventos de Transmission Control Protocol auditoria / Internet Protocol (TCP/IP) devem ser capturados por padrão ou não, mesmo quando o descritor de soquete correspondente é criado antes da auditoria ser ativada. Os eventos de auditoria TCP/IP abrangidos como parte deste argumento são TCP_kbind, TCP_klisten, TCP_kaccept, TCP_kconnect TCP_ksend, TCP_kreceive, TCP_kshutdown,, TCP_ksetopt, e TCP_kclose.

Observação: se nenhum dos modos de coleta estiver definido ou se ambos os modos estiverem no estado " off, somente a configuração do subsistema será feita.

bin sub-rotina

A estrofe ' bin contém os atributos que são usados pelo daemon ' auditbin para configurar a auditoria do modo bin. A estrofe " bin tem o seguinte formato:

bin:
  trail = PathName
  bin1 = PathName
  bin2 = PathName
  binsize = DecimalString
  cmds = PathName
  bytethreshold = DecimalString
  eventthreshold = DecimalString
  freespace = DecimalString
  backuppath = DirectoryPath
  backupsize = DecimalString
  virtual_log = PathName
  bincompact =  off | on

Os parâmetros do modo bin são definidos da seguinte forma:

Tabela 2. Parâmetros da estrofe ' bin

Parâmetro	Definição
trilha	Especifica o nome do caminho do arquivo de trilha de auditoria. Quando a trilha é definida, o daemon ' auditbin pode substituir o nome do caminho do arquivo de trilha de auditoria pela string ' $trail nos comandos de backend que ele chama.
bin1	Especifica o nome do caminho que o daemon ' auditbin usa para seu arquivo bin principal. Se a cadeia de caracteres ' $bin for o valor do parâmetro, o daemon ' auditbin substituirá o nome do arquivo bin atual.
bin2	Especifica o nome do caminho que o daemon ' auditbin usa para seu arquivo bin secundário. Se a cadeia de caracteres ' $bin for o valor do parâmetro, o daemon ' auditbin substituirá o nome do arquivo bin atual.
bincompacto	Especifica se o modo de registro de auditoria compacto deve ser ativado para a auditoria do modo bin. Os dois valores possíveis estão ligados e desligados. O valor padrão é off.
tamanho do compartimento	Especifica uma cadeia de número inteiro decimal que define o tamanho do limite (em bytes) de cada bin de auditoria. Se o parâmetro binsize for definido como 0, não ocorrerá troca de compartimento e toda a coleta de compartimentos irá para ' bin1.
cmds	Especifica o nome do caminho do arquivo que contém os comandos de backend de auditoria que são chamados pelo daemon ' auditbin. O arquivo contém linhas de comando, cada uma composta de um ou mais comandos backend com entrada e saída que podem ser pipados juntos ou redirecionados. Para obter mais informações, consulte a descrição do arquivo ' /etc/security/audit/bincmds.
bytelimite	Especifica a cadeia de número inteiro decimal que define o número aproximado de bytes gravados em uma bin de auditoria antes que uma atualização síncrona seja realizada. Se o bytelimite for configurado para 0, esta função será desativada. Ambos bytelimite e eventlimiar podem ser usados simultaneamente.
eventlimiar	Especifica uma cadeia de caracteres inteira decimal que define o número máximo de eventos que são gravados em um compartimento de auditoria antes da execução de uma atualização síncrona. Se o eventlimiar for configurado para 0, esta função será desativada. Ambos eventlimiar e bytelimite podem ser usados simultaneamente.
espaço livre	Especifica uma cadeia de número inteiro decimal que define o número recomendado de 512-byte blocos livres no sistema de arquivos onde o arquivo de trilha de auditoria está localizado. Se o espaço livre do sistema de arquivos for menor que esse valor, a auditoria gerará uma mensagem de aviso por meio do subsistema ' syslog toda vez que o compartimento de auditoria for alternado. O valor padrão é de 65536 blocos (64 megabytes). O valor máximo é 4194303 (cerca de 2 GB de espaço livre em disco). Se este valor for configurado para 0, nenhuma mensagem de aviso será gerada. Se o caminho de backup válido for mencionado e o espaço livre do sistema de arquivos for menor que esse valor, o ' auditcat fará o backup do arquivo de trilha nesse caminho toda vez que o ' auditbin invocar o ' auditcat.
apoio	Especifica o nome do caminho absoluto do diretório, onde o backup do arquivo de trilha de auditoria do sistema deve ser copiado quando o tamanho do arquivo de trilha de auditoria do sistema atingir o valor do parâmetro backupsize. Se você definir esse parâmetro, o comando ' auditcat no arquivo ' bincmds deverá conter a instrução ' -d $backuppath para que a alteração do nome do caminho absoluto do diretório tenha efeito. Para obter mais informações, consulte a descrição do comando ' auditcat. Nota: O diretório que é especificado no parâmetro backuppath não deve estar localizado no mesmo sistema de arquivos no qual o arquivo de trilha auditoria do sistema está localizado.
tamanho do backup	Especifica uma cadeia de número inteiro decimal que define o número recomendado de 512-byte blocos no arquivo de trilha auditoria do sistema. Se o tamanho do arquivo trail for igual ou maior do que este valor, o backup da trilha será levado. O valor padrão é vazio (backup é desativado). O valor máximo é 4194303 (cerca de 2 GB de espaço livre em disco). Se o valor for definido como menor que igual a zero ou definido como qualquer valor inválido, esse parâmetro será ignorado. Se você configurar este parâmetro, o comando auditcat no arquivo bincmds deve conter a instrução -d $backupsize para a alteração no tamanho do arquivo de trilha auditoria do sistema para efetivar. Para obter mais informações, consulte a descrição do comando ' auditcat.
log virtual	Especifica o nome do caminho para um dispositivo virtual_log . O recurso de log virtual pode ser usado pelo daemon ' auditbin para gravar registros de auditoria em um sistema VIOS conectado. Para ativar o dispositivo virtual_log em uma LPAR cliente, primeiro configure o dispositivo " vlog correspondente no sistema VIOS conectado e, em seguida, especifique um dispositivo recém-criado em um cliente (por exemplo, o dispositivo " /dev/vlog0 pode ser especificado).

stream sub-rotina

A estrofe " stream contém os atributos que o comando " audit start usa para configurar a auditoria do modo de fluxo inicial. A estrofe " stream tem o seguinte formato:

cmds = PathName  

O parâmetro PathName identifica o arquivo que contém os comandos de fluxo executados na inicialização do sistema de auditoria. Esses comandos podem usar o piping e o redirecionamento do shell, mas nenhuma substituição de nomes de caminho é realizada nas cadeias de caracteres ' $trail ou ' $bin.

classes sub-rotina

A estrofe " classes define classes de auditoria (conjuntos de eventos de auditoria) para o sistema.

Cada nome de classe de auditoria deve ter menos de 16 caracteres e ser exclusivo no sistema. Cada definição de classe deve estar contida em uma única linha, com uma nova linha que atua como um delimitador entre as classes. O sistema suporta até 32 classes de auditoria, com ALL como última classe. Os eventos de auditoria na classe devem ser definidos no arquivo " /etc/security/audit/events.

classes:
        auditclass = auditevent, ...auditevent        

usuários Stanza

A estrofe " users define classes de auditoria (conjuntos de eventos) para cada usuário. As classes são definidas para o kernel do sistema operacional.

A estrofe " users tem o seguinte formato:

users:
    UserName = auditclass, ... auditclass        

Cada atributo ' UserName deve ser o nome de login de um usuário do sistema ou a string ' default, e cada parâmetro auditclass deve ser definido na estrofe ' classes.

Para estabelecer as atividades de auditoria de um usuário, use o comando " chuser com o atributo " auditclasses.

role sub-rotina

A estrofe " role define classes de auditoria (conjuntos de eventos) para cada função. As classes são definidas para o kernel do sistema operacional.

A estrofe " role tem o seguinte formato:

role:
    RoleName = auditclass, ... auditclass 

Cada atributo ' RoleName deve ser o nome de uma função do sistema ou a string ' default, e cada parâmetro auditclass deve ser definido na estrofe ' classes.

Para estabelecer as atividades de auditoria de uma função, use o comando " chrole com o atributo " auditclasses.

Estrofe da WPARS

A estrofe " WPARS define classes de auditoria (conjuntos de eventos) para cada partição de carga de trabalho(WPAR). As classes são definidas para o kernel do sistema operacional.

A estrofe " WPARS tem o seguinte formato:

WPARS:
wpar_name = auditclass, ... auditclass

Cada ' wpar_name deve ser o nome WPAR de um sistema. Defina cada parâmetro de auditclass na estrofe " classes.

Segurança

Controle de acesso

Esse arquivo deve conceder acesso de leitura (r) ao usuário root e aos membros do grupo de auditoria e acesso de gravação (w) somente ao usuário root.

Exemplos

1. Para definir classes de auditoria, adicione uma linha à estrofe " classes do arquivo " /etc/security/audit/config para cada conjunto de eventos que você deseja atribuir a uma classe:

   classes:
     general = USER_SU,PASSWORD_Change,FILE_Unlink,
       FILE_Link,FILE_Remove
     system = USER_Change,GROUP_Change,USER_Create,
       GROUP_Create
     init = USER_Login, USER_Logout

   Esses eventos de auditoria específicos e classes de auditoria são descritos em "Configurando Auditoria" em Sistema operacional e gerenciamento de dispositivos.

2. Para estabelecer as atividades de auditoria para cada usuário, use o comando ' chuser com o atributo ' auditclasses para cada usuário para o qual deseja definir classes de auditoria (conjuntos de eventos de auditoria):

   chuser "auditclasses=general,init,system" dave
   chuser "auditclasses=general,init" mary

   Esses comandos " chuser criam as seguintes linhas na estrofe " users do arquivo " /etc/security/audit/config:

   users:
    dave=general,init,system
    mary=general,init  

   Esta configuração inclui dave, o administrador do sistema, e mary, um funcionário que atualiza informações.

3. Para ativar o sistema de auditoria, ativar a coleta de dados da lixeira e desativar a coleta de dados do fluxo inicial, adicione o seguinte à estrofe ' start do arquivo ' /etc/security/audit/config:

   start:
     binmode = on
     streammode = off

4. Para permitir que o daemon " auditbin configure a coleta de lixo, adicione atributos à estrofe " bin do arquivo " /etc/security/audit/config:

   bin:
     trail = /audit/trail
     bin1 = /audit/bin1
     bin2 = /audit/bin2
     binsize = 25000
     cmds = /etc/security/audit/bincmds

   Os valores de atributo na estrofe anterior permitem que o sistema de auditoria colete arquivos bin de dados e armazene os registros em uma trilha de auditoria de longo prazo.

5. Para permitir que o daemon ' auditbin configure a coleta de fluxo, adicione linhas às estrofes ' start e ' stream do arquivo ' /etc/security/audit/config:

   start:
     streammode = on
   stream:
     cmds = /etc/security/audit/streamcmds

6. Para permitir que o WPAR ' wpar1 audite as classes ' general, ' tcpip e ' lvm, adicione as seguintes linhas à estrofe ' WPARS do arquivo ' /etc/security/audit/config:

   WPARS:
   	  wpar1 = general,tcpip,lvm

7. Para ativar os logs virtuais no daemon ' auditbin para capturar registros de auditoria em um local centralizado, como um sistema VIOS ( Virtual I/O Server ), adicione o seguinte atributo à estrofe bin do arquivo ' /etc/security/audit/config:

   bin:
   		virtual_log = /dev/vlog0 

   Observação: o caminho do dispositivo " /dev/vlog0 é um exemplo. O nome real do dispositivo pode ser diferente em cada partição lógica cliente (Lógica), com base em como os logs virtuais são configurados a partir de um sistema VIOS conectado.

Arquivos