在 NFS 环境中进行审计

在线编辑

AIX® 审计子系统支持对已安装的文件系统进行审计。 客户机上已安装文件系统的配置类似于本地文件系统的配置。 对可审计的已安装对象的审计操作类似于对本地对象的审计操作,如“审计”概述中所述。 对已安装文件系统的客户机和服务器的审计行为如本主题中后面的信息中所述。

在 NFS 客户机上进行审计

客户机对已加载文件系统上可审计对象运行的所有操作都会记录在客户机上。 如果 NFS 服务器未对对象进行任何操作,或者必须在客户机上启用任何其他 NFS 客户机或完整路径审计,那么此内容有效。

请参阅 audit 命令联机帮助页以获取更多信息。 如果未启用完整路径审计,且服务器或其他客户机已修改文件,那么连续审计将不可预测。 在客户机上重新启动审计会调整此行为。 如果在多台客户机上安装了某个文件系统,那么建议审计对服务器的操作以获取事件的准确日志,或者在客户机上启用完整路径审计。
注: 审计子系统配置不支持将审计日志文件系统用作已安装的 NFS 文件系统。

在 NFS 服务器上进行审计

客户机和服务器对已安装文件系统执行的所有操作都会记录在 NFS 服务器上。

对服务器端的局限性

  • 如果 NFS 客户机执行的任何操作未发送至服务器,那么由于 NFS 高速缓存或固有 NFS 体系结构,服务器将不审计该操作。

    例如:在安装文件系统之后,服务器仅审计对文件执行的第一个读操作。 连续的读操作未记录在服务器上。 这适用于对文件、链接和目录的读操作。

  • 客户机所执行的操作将作为 nfsd 记录在服务器上,并且将 root 用户作为用户名。

示例

名为 File_System 的文件系统使用命令 mount server:/File_system /mnt安装在客户机上。 如果需要在服务器上审计 File_System 文件系统中名为 A 的文件,那么必须在审计配置文件中配置 /File_system/A

如果您决定在客户机上的 File_System 文件系统中审计 A 文件,那么必须将 /mnt/A 配置为在客户机上进行审计。

如果文件 A 配置为要在服务器和客户机上审计,那么会审计服务器和客户机对文件 A 执行的操作并将这些操作记录在服务器上,并且会将客户机执行的操作记录在客户机上。

客户机对文件 A 执行的任何操作在服务器上记录为 nfsd 守护程序而不是操作或命令名。