config 文件

在线编辑

用途

包含审计系统配置信息。

描述

/etc/security/audit/config 文件是包含审计系统配置信息的 ASCII 节文件。 此文件包含五个节: 开始用户

启动节

开始 节包含用于初始化审计系统的 审计开始 命令所使用的属性。 以下格式如下:

start:
 fullpath = off | on
 binmode = off | on | panic
 streammode = off | on
 ignorenonexistentity = no | yes

有关属性定义为如下所示:

属性 定义
分箱方式 控制是否使用 bin 节中所定义的 bin 收集。
未使用 bin 集合。 这是缺省值。
on
使用 bin 集合。 此值启动 奥迪特宾 守护程序。
应急启动
使用 bin 集合。 此值启动 奥迪特宾 守护程序。 如果无法将审计记录写入 bin ,那么内核会关闭操作系统。 对于系统必须正常工作的情况,应该指定此方式。
全路径 捕获 FILE_Open , FILE_Read 和 FILE_Write 审计事件的文件的完整路径名。
未记录完整路径名。 这是缺省值。
on
记录完整路径名。
忽略不存在性 控制在审计操作期间是否忽略 etc/security/audit/config 文件中列出的不存在的实体。 ignorenonexistentity 属性包含以下有效值:
False
如果在 audit start 命令期间发现不存在的实体,那么不会启动审计操作。 这是缺省值。
审计操作忽略不存在的条目。
流方式 控制是否在审计系统启动时配置流数据收集,如流节 (通常为 /etc/security/audit/streamcmds 文件) 中指定的文件中所定义。
未启用流数据收集。 这是缺省值。
on
已启用流数据收集。
注: 如果未定义任何收集方式,或者这两种方式都处于 状态,那么仅执行子系统配置。

本斯坦扎

节包含 奥迪特宾 守护程序用于设置分箱方式审计的属性。 格式如下:
bin:
  trail = PathName
  bin1 = PathName
  bin2 = PathName
  binsize = DecimalString
  cmds = PathName
  bytethreshold = DecimalString
  eventthreshold = DecimalString
  freespace = DecimalString
  backuppath = DirectoryPath
  backupsize = DecimalString
  virtual_log = PathName
  bincompact =  off | on

Bin 方式参数定义如下所示:

参数 定义
跟踪 指定审核跟踪文件的路径名。 定义此项时, 奥迪特宾 守护程序可以将审计跟踪文件的路径名替换为它所调用的后端命令中的 $trail 字符串。
bin1 指定 奥迪特宾 守护程序用于它的主 bin 文件的路径名。 如果 $bin 字符串为参数值,那么 奥迪特宾 守护程序将替换当前 bin 文件的名称。
bin2 指定 奥迪特宾 守护程序用于它的辅助 bin 文件的路径名。 如果 $bin 字符串为参数值,那么 奥迪特宾 守护程序将替换当前 bin 文件的名称。
宾紧凑 指定是否应启用压缩审计日志方式以进行 bin 方式审计。 两个可能的值为 on 和 off。 缺省值为 off。
二进制大小 指定定义每个审计分箱的阈值大小 (以字节为单位) 的十进制整数字符串。 如果 二进制大小 参数设置为 0 ,那么不会发生 bin 切换,并且所有 bin 集合都将转至 bin1
cmds 指定包含由 奥迪特宾 守护程序调用的审计后端命令的文件的路径名。 该文件包含命令行,每个命令行由一个或多个后端命令组成,并且输入和输出可以一起传送或重定向。 有关更多信息,请参阅 /etc/security/audit/bincmds 文件的描述。
字节阈值 指定一个十进制整数字符串,该字符串定义在执行同步更新之前写入审计 bin 的大致字节数。 如果 字节阈值 设置为 0 ,那么将禁用此功能。 字节阈值事件阈值 都可以同时使用。
事件阈值 指定一个十进制整数字符串,此字符串定义在执行同步更新之前写入审计 bin 的最大事件数。 如果 事件阈值 设置为 0 ,那么将禁用此功能。 事件阈值字节阈值 都可以同时使用。
可用空间 指定一个十进制整数字符串,该字符串定义审计跟踪文件所在的文件系统中建议的 512 字节可用块数。 如果文件系统的可用空间低于此值,那么每次切换审计 bin 时,审计都会通过 系统日志 子系统生成一条警告消息。 缺省值为 65536 个块 (64 兆字节)。 最大的可能值是 4194303(大约 2GB 可用磁盘空间)。 如果此值设置为 0 ,那么不会生成警告消息。 如果提到了有效备份路径,并且文件系统的可用空间低于此值,那么 奥迪特卡特 将在每次 auditbin 调用 奥迪特卡特时备份此路径中的跟踪文件。
备份路径 指定目录的绝对路径名,当系统审计跟踪文件的大小达到 backupsize 参数的值时,必须在此目录中复制系统审计跟踪文件的备份。 如果设置此参数,那么 bincmds 文件中的 auditcat 命令必须包含 -d $backuppath 语句才能使目录的绝对路径名更改生效。 请参阅 auditcat 命令的描述以获取更多信息。
注: backuppath 参数中指定的目录不得位于系统审计跟踪文件所在的同一文件系统中。
备份大小 指定一个十进制整数字符串,该字符串定义系统审计跟踪文件中建议的 512 字节块数。 如果跟踪文件大小等于或大于此值,那么将生成跟踪的备份。 缺省值为空 (已禁用备份)。 最大可能值为 4194303 (约为 2 GB 可用磁盘空间)。 如果该值设置为小于零,或者设置为任何无效值,那么将忽略此参数。 如果设置此参数,那么 bincmds 文件中的 auditcat 命令必须包含 -d $backupsize 语句才能使系统审计跟踪文件大小的更改生效。 请参阅 auditcat 命令的描述以获取更多信息。
虚拟日志 虚拟日志 设备指定路径名。 奥迪特宾 守护程序可以使用虚拟日志工具将审计记录写至连接的 VIOS 系统。 要在客户机 LPAR 上启用 虚拟日志 设备,请先在连接的 VIOS 系统上配置相应的 Vlog 设备,然后在客户机上指定新创建的设备 (例如,可以指定 /dev/vlog0 设备)。

流节

节包含 审计开始 命令设置初始流方式审计时所使用的属性。 格式如下:

cmds = PathName

PathName 参数标识包含在审计系统初始化时执行的流命令的文件。 这些命令可以使用 shell 管道和重定向,但不会对 $trail$bin 字符串执行路径名替换。

类节

节将审计类 (审计事件的集合) 定义到系统。

每个审计类名必须少于 16 个字符,并且在系统上唯一。 每个类定义都必须包含在单个行中,并使用新行作为类之间的定界符。 系统最多支持 32 个审计类,其中 ALL 是最后一个类。 必须在 /etc/security/audit/events 文件中定义类中的审计事件。

classes:
        auditclass = auditevent, ...auditevent

用户节

用户 节为每个用户定义审计类 (事件的集合)。 这些类是对操作系统内核定义的。

格式如下:

users:
    UserName = auditclass, ... auditclass

每个 UserName 属性必须是系统用户的登录名或字符串default,并且应该在 节中定义每个 审计类 参数。

要为用户建立审计活动,请将 丘特 命令与 Auditclasses 属性配合使用。

角色节

角色节为每个角色定义审计类 (事件的集合)。 这些类是针对操作系统内核定义的。

角色节的格式如下所示:
role:
    RoleName = auditclass, ... auditclass

每个 RoleName 属性必须是系统角色的名称或字符串default,并且必须在 节中定义每个 审计类 参数。

要为角色建立审计活动,请将 切角色 命令与 Auditclasses 属性配合使用。

WPARS 节

WPAR 节定义了每个 工作负载分区 (WPAR) 的审计类 (事件集)。 这些类是对操作系统内核定义的。

WPAR 节的格式如下所示:

WPARS:
    wpar_name = auditclass, ... auditclass
每个 wpar_name 都必须是系统的 WPAR 名称。 您必须在 节中定义每个 审计类 参数。

安全性

访问控制: 此文件应该向 root 用户和审计组的成员授予读 (r) 访问权,并仅向 root 用户授予写 (w) 访问权。

事件 信息
自动配置 _WR 文件名

示例

  1. 要定义审计类,请在 /etc/security/audit/config 文件的 classes 节中针对要分配给类的每个事件集添加一行:
    classes:
  general = USER_SU,PASSWORD_Change,FILE_Unlink,
    FILE_Link,FILE_Remove
  system = USER_Change,GROUP_Change,USER_Create,
    GROUP_Create
  init = USER_Login, USER_Logout

    这些特定审计事件和审计类在 操作系统和设备管理中的 "设置审计" 中进行了描述。

  2. 要为每个用户建立审计活动,请对您要为其定义审计类 (审计事件集) 的每个用户使用带有 Auditclasses 属性的 丘特 命令:
    chuser "auditclasses=general,init,system" dave
chuser "auditclasses=general,init" mary
    这些 chuser 命令在 /etc/security/audit/config 文件的 users 节中创建以下行:
    users:
 dave=general,init,system
 mary=general,init
    此配置包括系统的管理员 dave 和更新信息的员工 Mary。
  3. 要启用审计系统,打开 bin 数据收集并关闭初始流数据收集,请将以下内容添加到 /etc/security/audit/config 文件的 start 节中:
    start:
  binmode = on
  streammode = off
  4. 要使 auditbin 守护程序能够设置 bin 集合,请向 /etc/security/audit/config 文件的 bin 节添加属性:
    bin:
  trail = /audit/trail
  bin1 = /audit/bin1
  bin2 = /audit/bin2
  binsize = 25000
  cmds = /etc/security/audit/bincmds

    上述节中的属性值使审计系统能够收集数据的 bin 文件,并将记录存储在长期审计跟踪中。

  5. 要使 auditbin 守护程序能够设置流集合,请向 /etc/security/audit/config 文件的 startstream 节添加行:
    start:
  streammode = on
stream:
  cmds = /etc/security/audit/streamcmds
  6. 要使 wpar1 WPAR 能够审计 generaltcpiplvm 类,请将以下行添加到 /etc/security/audit/config 文件的 WPARS 节中:
    WPARS:
	  wpar1 = general,tcpip,lvm
  7. 要在 auditbin 守护程序中启用虚拟日志以在集中位置 (例如 Virtual I/O Server (VIOS) 系统) 捕获审计记录,请将以下属性添加到 /etc/security/audit/config 文件的 bin 节中:
    bin:
		virtual_log = /dev/vlog0
    注: /dev/vlog0 设备路径是一个示例。 根据从连接的 VIOS 系统配置虚拟日志的方式,在每个客户机逻辑分区 (LPAR) 上,实际设备名称可能不同。

文件

描述
/etc/security/audit/config 指定文件路径。
/etc/security/audit/objects 包含已审计对象的审计事件。
/etc/security/audit/events 包含系统的审计事件。
/etc/security/audit/bincmds 包含 auditbin 后端命令。
/etc/security/audit/streamcmds 包含审计流命令。