对象文件
用途
包含已审计对象 (文件) 的审计事件。
描述
/etc/security/audit/objects 文件是一个 ASCII 节文件,其中包含有关已审计对象 (文件) 的信息。 对于每个已审计文件,此文件都包含一个节。 此节的名称与文件的路径名相同。
每个文件属性都具有以下格式:
访问模式 = " 审计事件 "
审计事件名称最长可以为 15 个字节; 较长的名称将被拒绝。 有效访问方式为读 (r) ,写 (w) 和执行 (x) 方式。 对于目录,搜索方式将替换为执行方式。
/etc/security/audit/objects 文件中的对象 (文件) 不能是符号链接。
如果使用 bin 方式审计,那么不能在 /etc/security/audit/objects 文件中列出在 /etc/security/audit/config 文件中指定为 bin1 和 bin2 的对象。
注: 审计开始后,已审计的对象文件不需要存在。 但是,要成功地启动审计,请确保对象文件的父目录存在。 如果父目录不存在,那么 审计开始 命令不会失败,但即使稍后创建了受影响的文件,也不会审计这些文件。
安全性
访问控制: 此文件应该向 root 用户和审计组的成员授予读 (r) 访问权,并仅向 root 用户授予写 (w) 访问权。
示例
- 要定义 /etc/security/passwd 文件的审计事件,请向 /etc/security/audit/objects 文件添加节。 例如:
这些属性将生成S_PASSWD_READ每次读取 密码 文件时发生审计事件,并且S_PASSWD_WRITE每次打开文件进行写入时发生审计事件。/etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" - 要定义 /wpars/wpar1/etc/security/passwd 文件的审计事件,请向托管 WPAR的 AIX® 系统中的 /etc/security/audit/objects 文件添加节。 例如:
在以下位置解析此节:audit start -@ <wpar1>为 /etc/security/passwd 对象启用对象审计的时间wpar1这些属性将生成WPAR1_PASSWD_RD每次读取 /wpars/wpar1/etc/security/passwd 文件时发生审计事件,并生成WPAR1_PASSWD_WR每次打开文件进行写入时发生审计事件。/wpars/wpar1/etc/security/passwd: r = "WPAR1_PASSWD_RD" w = "WPAR1_PASSWD_WR"
文件
| 项 | 描述 |
|---|---|
| /etc/security/audit/objects | 指定文件路径。 |
| /etc/security/audit/config | 包含审计系统配置信息。 |
| /etc/security/audit/events | 包含系统的审计事件。 |
| /etc/security/audit/bincmds | 包含 auditbin 后端命令。 |
| /etc/security/audit/streamcmds | 包含审计流命令。 |