bincmds 文件
用途
包含用于处理审计 bin 数据的 shell 命令。
描述
/etc/security/audit/bincmds 文件是一个 ASCII 模板文件,其中包含用于处理审计二进制文件记录的后端命令。 此文件的路径名在 /etc/security/audit/config 文件的 bin 节中定义。
此文件包含命令行,每个命令行由一个或多个命令组成,输入和输出可以一起传送或重定向。 虽然这些命令通常是审计系统命令 ( 奥迪特卡特 命令, 奥迪特普尔 命令和 Auditselect 命令) 中的一个或多个命令,但这不是必需的。
当每个 bin 文件由内核填充时, 奥迪特宾 守护程序调用每个命令来处理 bin 记录,并将命令中任何 $trail 和 $bin 字符串的当前 bin 文件和审计跟踪文件的名称替换为该文件。 在启动时,如果 奥迪特宾 守护程序检测到 bin 文件需要执行恢复过程,那么该命令将在 $bin中的 bin 文件名前面添加 -r 。
注: 当在可信路径上时,可信 shell (TSH) 将执行这些命令。 这意味着命令中的路径名必须是绝对的,并且环境变量替换可能是有限的。 有关更多信息,请参阅 特什 命令的讨论。
安全性
访问控制: 此文件应该向 root 用户和审计组的成员授予读 (r) 访问权,并仅向 root 用户授予写 (w) 访问权。
示例
- 要压缩审计 bin 记录并将其附加到系统审计跟踪文件,请在 /etc/security/audit/bincmds 文件中包含以下行:
/usr/sbin/auditcat -p -o $trail $bin当该命令运行时,当前 bin 文件和系统审计跟踪文件的名称将被替换为 $bin 和 $trail 字符串。 记录将被压缩并附加到 /audit/trail 文件。
- 要从每个 bin 文件中选择由于认证或特权原因而失败的审计事件,并将这些事件附加到 /audit/trail.violations 文件,必须在 /etc/security/audit/bincmds 文件中包含以下行:
/usr/sbin/auditselect -e "result == FAIL_AUTH || \ result == FAIL_PRIV" $bin >> /audit/trail.violations - 要创建所有本地用户认证审计事件的硬拷贝审计日志,请在 /etc/security/audit/bincmds 文件中包含以下行:
/usr/sbin/auditselect -e "event == USER_Login || \ event == USER_SU" $bin | \ /usr/sbin/auditpr -t2 -v >/dev/lpr3调整打印机名称以符合您的需求。
注: auditselect 命令不支持 -r 标志 (恢复)。 要处理 $bin 字符串,请在使用 auditselect 命令之前使用 auditcat 命令。
文件
| 项 | 描述 |
|---|---|
| /etc/security/audit/bincmds | 指定文件路径。 |
| /etc/security/audit/config | 包含审计系统配置信息。 |
| /etc/security/audit/events | 包含系统的审计事件。 |
| /etc/security/audit/objects | 包含被审计对象(文件)的审计事件。 |
| /etc/security/audit/streamcmds | 包含审计流命令。 |