config 文件

用途

包含有关审计系统配置的信息。

描述

/etc/security/audit/config文件是一个 ASCII 字符串文件，包含有关审计系统配置的信息。 该文件包含五节： start、"bin"、"stream"、"classes"和 "users"。

start 节 (stanza)

start节包含 "audit start命令用来初始化审计系统的属性。 start一节的格式如下：

start:
 fullpath = off | on
 binmode = off | on | panic
 streammode = off | on
 ignorenonexistentity = no | yes

有关属性定义为如下所示：

表 1. start一节的属性

属性	定义
binmode	控制是否使用 bin 节中所定义的 bin 收集。 off 未使用 bin 集合。 缺省值为 off。 on 使用 bin 集合。 该值将启动 "auditbin守护进程。 panic 使用 bin 集合。 该值将启动 "auditbin守护进程。 如果无法将审计记录写入 bin ，那么内核会关闭操作系统。 在系统必须正常运行的情况下，必须指定该模式。
fullpath	PROC_LPExecute 捕获 FILE_Open, FILE_Openxat, FILE_Read, FILE_Write, FILE_Link, FILE_Linkat, FILE_Unlink, FILE_Unlinkat, FILE_Rename, FILE_Renameat, FILE_Owner, FILE_Mode, FILE_Fchmod, FILE_Fchmodat, FILE_Fchown, FILE_Fchownat, FILE_Truncate, FILE_Symlink, FILE_Symlinkat, FILE_Setea, FILE_Removeea, FILE_Utimes, FS_Chroot, FILE_Mknod, FILE_Mknodat, FILE_Acl, FILE_Facl, FILE_Chpriv, FILE_Fchpriv, FILE_WriteXacl, FILE_Revoke, FILE_Frevoke, PROC_Execute 的文件或可执行文件的完整路径名、 off 不记录完整路径名。 缺省值为 off。 on 记录完整的路径名。
ignorenonexistentity	控制在审计操作期间是否忽略 etc/security/audit/config 文件中列出的不存在的实体。 ignorenonexistentity 属性包含以下有效值: no 如果在 audit start 命令期间发现不存在的实体，那么不会启动审计操作。 这是缺省值。 yes 审计操作忽略不存在的条目。
streammode	控制是否在审计系统启动时配置流数据收集，即流字段中指定的文件（通常为 "/etc/security/audit/streamcmds文件）中定义的流数据收集。 off 未启用流数据收集。 这是缺省值。 on 已启用流数据收集。
tcp_enable_all_kevents	控制是否默认捕获所有 Transmission Control Protocol / Internet Protocol （TCP/IP）审核事件，即使在启用审核之前已创建相应的套接字描述符。 本论述涵盖的TCP/IP审计事件包括 TCP_kbind： TCP_klisten、 TCP_kaccept、 TCP_kconnect、、 TCP_ksend、 TCP_kreceive、 TCP_kshutdown、 TCP_ksetopt、和 TCP_kclose。

注：如果未定义任何收集模式，或者两种模式都处于 "off状态，则只进行子系统配置。

bin 节 (stanza)

bin节包含 "auditbin守护进程用于设置二进制模式审计的属性。 bin一节的格式如下：

bin:
  trail = PathName
  bin1 = PathName
  bin2 = PathName
  binsize = DecimalString
  cmds = PathName
  bytethreshold = DecimalString
  eventthreshold = DecimalString
  freespace = DecimalString
  backuppath = DirectoryPath
  backupsize = DecimalString
  virtual_log = PathName
  bincompact =  off | on

Bin 方式参数定义如下所示:

表 2. bin一节的参数 "

参数	定义
跟踪	指定审核跟踪文件的路径名。 定义了跟踪后，"auditbin守护进程就可以在其调用的后端命令中用审计跟踪文件的路径名代替 "$trail字符串。
bin1	指定 "auditbin守护进程主要 bin 文件的路径名。 如果参数值为 "$bin字符串，"auditbin守护进程将替换当前 bin 文件的名称。
bin2	指定 "auditbin守护进程用于其辅助 bin 文件的路径名。 如果参数值为 "$bin字符串，"auditbin守护进程将替换当前 bin 文件的名称。
宾紧凑	指定是否必须为 bin 模式审计启用紧凑型审计日志模式。 两个可能的值为 on 和 off。 缺省值为 off。
二进制大小	指定定义每个审计分箱的阈值大小 (以字节为单位) 的十进制整数字符串。 如果binsize参数设置为 0，则不进行分仓切换，所有的分仓收集都进入 "bin1。
cmds	指定包含 "auditbin守护进程调用的审计后台命令的文件路径名。 该文件包含命令行，每个命令行由一个或多个后端命令组成，并且输入和输出可以一起传送或重定向。 更多信息，请参阅 "/etc/security/audit/bincmds文件的说明。
字节阈值	指定一个十进制整数字符串，该字符串定义在执行同步更新之前写入审计 bin 的大致字节数。 如果 字节阈值 设置为 0 ，那么将禁用此功能。 字节阈值 和 事件阈值 都可以同时使用。
事件阈值	指定一个十进制整数字符串，该字符串定义了在执行同步更新之前写入审计箱的最大事件数。 如果 事件阈值 设置为 0 ，那么将禁用此功能。 事件阈值 和 字节阈值 都可以同时使用。
可用空间	指定一个十进制整数字符串，该字符串定义审计跟踪文件所在的文件系统中建议的 512 字节可用块数。 如果文件系统的可用空间小于此值，则每次切换审计仓时，审计都会通过 "syslog子系统生成一条警告信息。 缺省值为 65536 个块 (64 兆字节)。 最大值为 4194303（约 2 GB 可用磁盘空间）。 如果此值设置为 0 ，那么不会生成警告消息。 如果提到了有效的 backuppath，且文件系统的可用空间小于该值，则 auditcat 会在每次 auditbin 调用 auditcat 时备份该路径下的跟踪文件。
备份路径	指定目录的绝对路径名，当系统审计跟踪文件的大小达到backupsize参数的值时，系统审计跟踪文件的备份必须复制到该目录。 如果设置了该参数，"bincmds文件中的 "auditcat命令必须包含 "-d $backuppath语句，目录绝对路径名的更改才能生效。 更多信息，请参阅 "auditcat命令的说明。 注: backuppath 参数中指定的目录不得位于系统审计跟踪文件所在的同一文件系统中。
备份大小	指定一个十进制整数字符串，该字符串定义系统审计跟踪文件中建议的 512 字节块数。 如果跟踪文件大小等于或大于此值，那么将生成跟踪的备份。 缺省值为空 (已禁用备份)。 最大值为 4194303（约 2 GB 可用磁盘空间）。 如果该值设置为小于等于零或设置为任何无效值，该参数将被忽略。 如果设置此参数，那么 bincmds 文件中的 auditcat 命令必须包含 -d $backupsize 语句才能使系统审计跟踪文件大小的更改生效。 更多信息，请参阅 "auditcat命令的说明。
虚拟日志	为 虚拟日志 设备指定路径名。 auditbin守护进程可使用虚拟日志工具将审计记录写入连接的 VIOS 系统。 要在客户 LPAR 上启用virtual_log设备，首先要在连接的 VIOS 系统上配置相应的 "vlog设备，然后在客户机上指定一个新创建的设备（例如，可以指定 "/dev/vlog0设备）。

stream 节 (stanza)

stream节包含 "audit start命令用来设置初始流模式审计的属性。 stream一节的格式如下：

cmds = PathName  

PathName 参数标识包含在审计系统初始化时执行的流命令的文件。 这些命令可以使用 shell 管道和重定向，但不会对 "$trail或 "$bin字符串执行路径名替换。

classes 节 (stanza)

classes节为系统定义了审计类别（审计事件集）。

每个审计类名必须少于 16 个字符，并且在系统上唯一。 每个类的定义必须包含在一行中，类与类之间用新的一行作为分隔符。 系统最多支持 32 个审计类，其中 ALL 是最后一个类。 类中的审计事件必须在 "/etc/security/audit/events文件中定义。

classes:
        auditclass = auditevent, ...auditevent        

用户诗句

users字符串定义了每个用户的审计类别（事件集）。 这些类是对操作系统内核定义的。

users一节的格式如下：

users:
    UserName = auditclass, ... auditclass        

每个 "UserName属性必须是系统用户的登录名或字符串 "default，每个auditclass参数必须在 "classes节中定义。

要建立用户的审计活动，请使用带有 auditclasses 属性的 chuser 命令。

role 节 (stanza)

role部分定义了每个角色的审计类别（事件集）。 这些类是针对操作系统内核定义的。

role一节的格式如下：

role:
    RoleName = auditclass, ... auditclass 

每个 "RoleName属性必须是系统角色名称或字符串 "default，每个auditclass参数必须在 "classes节中定义。

要为某个角色建立审计活动，请使用带有 auditclasses 属性的 chrole 命令。

WPARS 斯坦萨

WPARS字符串定义了每个工作负载分区(WPAR) 的审计类别（事件集）。 这些类是对操作系统内核定义的。

WPARS一节的格式如下：

WPARS:
wpar_name = auditclass, ... auditclass

每个 "wpar_name必须是一个系统的WPAR名称。 在 "classes节中定义每个auditclass参数。

安全性

访问控制

该文件必须授予根用户和审计组成员读 (r) 访问权限，只授予根用户写 (w) 访问权限。

示例

1. 要定义审计类别，请在 "/etc/security/audit/config文件的 "classes节中为每组要分配给类别的事件添加一行：

   classes:
     general = USER_SU,PASSWORD_Change,FILE_Unlink,
       FILE_Link,FILE_Remove
     system = USER_Change,GROUP_Change,USER_Create,
       GROUP_Create
     init = USER_Login, USER_Logout

   这些特定审计事件和审计类在 操作系统和设备管理中的 "设置审计" 中进行了描述。

2. 要为每个用户建立审计活动，请使用 chuser 命令，并为每个用户设置 auditclasses 属性，以便为其定义审计类别（审计事件集）：

   chuser "auditclasses=general,init,system" dave
   chuser "auditclasses=general,init" mary

   这些 "chuser命令在 "/etc/security/audit/config文件的 "users部分创建了以下行：

   users:
    dave=general,init,system
    mary=general,init  

   此配置包括系统的管理员 dave 和更新信息的员工 Mary。

3. 要启用审计系统、打开垃圾箱数据收集和关闭初始流数据收集，请在 "/etc/security/audit/config文件的 "start节中添加以下内容：

   start:
     binmode = on
     streammode = off

4. 要让 "auditbin守护进程设置垃圾回收，请在 "/etc/security/audit/config文件的 "bin节中添加属性：

   bin:
     trail = /audit/trail
     bin1 = /audit/bin1
     bin2 = /audit/bin2
     binsize = 25000
     cmds = /etc/security/audit/bincmds

   上述节中的属性值使审计系统能够收集数据的 bin 文件，并将记录存储在长期审计跟踪中。

5. 要启用 auditbin 守护进程设置数据流收集，请在 /etc/security/audit/config 文件的 start 和 stream 节中添加几行：

   start:
     streammode = on
   stream:
     cmds = /etc/security/audit/streamcmds

6. 要使 wpar1 WPAR 能够审核 general、 tcpip 和 lvm 类，请在 /etc/security/audit/config 文件的 WPARS 节中添加以下几行：

   WPARS:
   	  wpar1 = general,tcpip,lvm

7. 要启用 "auditbin守护进程中的虚拟日志，以便在Virtual I/O Server(VIOS) 系统等集中位置捕获审计记录，请在 "/etc/security/audit/config文件的 bin stanza 中添加以下属性：

   bin:
   		virtual_log = /dev/vlog0 

   注："/dev/vlog0设备路径只是一个示例。 根据从连接的 VIOS 系统配置虚拟日志的方式，在每个客户机逻辑分区 (LPAR) 上，实际设备名称可能不同。

文件