设置审计
本过程向您说明如何设置审计子系统。 有关更多特定信息,请参考这些步骤中注释的配置文件。
- 从 /etc/security/audit/events 文件中的列表选择系统活动(事件)审计。 如果已经向应用程序或内核扩展添加了新的审计事件,那么必须编辑文件以添加新的事件。
- 如果已包含用于在应用程序 (使用 auditwrite 或 auditlog 子例程) 或内核扩展 (使用 audit_svcstart, audit_svcbcopy和 audit_svcfinis 内核服务)。
- 确保任何新建审计事件的格式指示信息包含在 /etc/security/audit/events 文件中。 这些规范允许 auditpr 命令在格式化审计记录时写入审计跟踪。
- 分组选定的审计事件到名为审计类相似项目集中。 在 /etc/security/audit/config 文件的 classes 节中定义这些审计类。
- 将审计类指定到单独用户,并将审计事件指定到您希望审计的文件(对象),如下所示:
- 指定单独用户的审计类,添加一行到 /etc/security/audit/config 文件的 user 节。 指定用户的审计类,可以使用 chuser 命令。
- 指定对象(数据或可执行文件)的审计事件,为该文件添加节到 /etc/security/audit/objects 文件。
- 还可以通过编辑 /usr/lib/security/mkuser.default 文件来为新的用户指定缺省审计类。 当生成新建用户标识时,文件保留要使用的用户属性。 例如,为所有新建用户标识使用
general审计类,如下:user: auditclasses = general pgrp = staff groups = staff shell = /usr/bin/ksh home = /home/$USER获取全部审计事件,指定
ALL类。 甚至只是在繁忙程度一般的系统执行此操作,都会生成大量的数据。 通常,更实际的做法是限制记录事件的数量。
- 在 /etc/security/audit/config 文件中,使用 BIN 收集、STREAM 收集或两种方式都用来配置数据收集类型。 通过对审计数据使用单独的文件系统,确保审计数据不与有关文件空间的其他数据竞争。 这将确保有足够的空间用于审计数据。 如下配置数据收集类型:
- 要配置 BIN 收集:
- 通过在 start 节中设置
binmode = on启用 BIN 方式收集。 - 编辑 binmode 节来配置 bins 和 trail,并指定包含 BIN 方式后端处理命令的文件的路径。 后端命令的缺省文件是 /etc/security/audit/bincmds文件。
- 确信审计 bin 足够大能满足需要并且如果正在填充文件系统相应设置 freespace 参数以获取警告。
- 包含在 /etc/security/audit/bincmds 文件中审计管道中处理审计 bin 的 shell 命令。
- 通过在 start 节中设置
- 要配置 STREAM 收集:
- 通过在 start 节中设置
streammode = on来启用 STREAM 方式集合。 - 编辑 streammode 节指定到包含 streammode 处理命令的文件路径。 包含此信息的缺省文件是 /etc/security/audit/streamcmds 文件。
- 包含在 /etc/security/audit/streamcmds 文件中审计管道中处理 stream 记录的 shell 命令。
- 通过在 start 节中设置
- 要配置 BIN 收集:
- 完成对配置文件的必要更改后,就可以使用 audit start 命令启用审计子系统。 这将生成值为 1 的 AUD_It 事件。
- 使用 audit query 命令查看审计了哪个事件和对象。 这将生成值为 2 的 AUD_It 事件。
- 使用 audit shutdown 命令再次停用审计子系统。 这将生成值为 4 的 AUD_It 事件。