レビューを使用してファイルの読み書き操作を追跡
2601 ワード
ここでは、AIXでの® では、監査(AIXセキュリティの重要な機能)を使用して複数のイベントを追跡し、監査を使用してファイルの読み書き操作を追跡する方法を理解します.また、関連するコマンドも検討します.
引用する
AIX® 最近のファイルへのアクセスを追跡するための簡単な方法が提供されます.
AIXでは、監査システムは、セキュリティに関する情報を記録し、管理者にセキュリティ問題に関する警告を発行するために使用されます.構成とターゲットファイルをカスタマイズできます.監査サブシステムは、追跡する必要があるファイルを追跡するために使用します.また、監査のリアルタイム監視プロパティを使用して、特定のプロセスとファイルを追跡することもできます(識別されていないプロセスによって任意に変更されます).
ついせき
追跡ファイルには特別な要求はありません.必要なのはrootアクセス権を持つ一般的なAIXシステムです.
トレースファイルの概要手順は次のとおりです.構成レビューサブシステム モニタ出力 レビューサブシステムの構成
監査サブシステムを構成するには、ターゲットとプロファイル(監査サブシステムが結果を生成するために使用する)で特定のエントリを確立する必要があります.
このシーンでは、/home/testを追跡します.txtファイル.レビューサブシステムを構成するには、次の手順に従います./etc/security/audit/objectsファイルで/home/test.txtは、対応するエントリを確立する.次のフォーマットを使用します. /etc/security/audit/configファイルでclassesセクションに次のようなエントリが作成されます.
/etc/security/audit/configファイルで、次のようにすべてのユーザーに適切なエントリを追加します.
このエントリのセットは、レビューがすべてのユーザー(このリスト内の任意のユーザー)が/home/test.txtファイルに対して実行した読み書き操作をレポートすることを保証します.ユーザーのエントリがすでに存在する場合は、不正なユーザーに対応するエントリを追加し、カンマを使用して前のエントリから分離できます. 監査では、2つのデータ監視モードが提供されます. BINモード:レビューイベントを2つのスワップで使用される一時BINファイルに記録し、1つのレビュートラッキングファイルに追加します. STREAMモード:レビュー記録を循環バッファに書き込む(このバッファは/dev/auditデバイスファイルで読み取ることができる). .
このシーンでは、提供される出力フォーマットが異なる以外に、両者の間に大きな違いはありません.いずれかのモードを開くか、両方のモードを開いてデータを収集できます.etc/security/audit/configファイルに適切なエントリを作成することで、それらを開くか閉じることができます.次の例では、STREAMモードを開きます.
以上の手順で/home/testを確認します.txtファイルは監査サブシステムの観察下にある.
出力の監視
出力を監視するには、まず次のコマンドを使用して監査サブシステムを起動します.本稿は、IBM developerWorks中国
ここをクリックして全文をご覧ください
lsまたはistat、ファイルのタイムスタンプを確認します.引用する
AIX® 最近のファイルへのアクセスを追跡するための簡単な方法が提供されます.
lsコマンドが一例です.ただし、誰がファイルにアクセスしたのか、またはどのプロセスがファイルにアクセスしたのかを知りたい場合もあります.デバッグや重要なファイルを追跡するために、このような情報が必要になる場合があります.レビューのヘルプでは、ファイルの読み書き操作に関する情報を追跡できます.AIXでは、監査システムは、セキュリティに関する情報を記録し、管理者にセキュリティ問題に関する警告を発行するために使用されます.構成とターゲットファイルをカスタマイズできます.監査サブシステムは、追跡する必要があるファイルを追跡するために使用します.また、監査のリアルタイム監視プロパティを使用して、特定のプロセスとファイルを追跡することもできます(識別されていないプロセスによって任意に変更されます).
ついせき
追跡ファイルには特別な要求はありません.必要なのはrootアクセス権を持つ一般的なAIXシステムです.
auditコマンドはrootユーザーとauditグループのメンバーに実行アクセス権を付与します.root以外のユーザーの場合、システムで監査を実行する場合はauditグループのメンバーである必要があります.トレースファイルの概要手順は次のとおりです.
監査サブシステムを構成するには、ターゲットとプロファイル(監査サブシステムが結果を生成するために使用する)で特定のエントリを確立する必要があります.
このシーンでは、/home/testを追跡します.txtファイル.レビューサブシステムを構成するには、次の手順に従います.
/home/test.txt:
r = "S_NOTAUTH_READ"
w = "S_NOTAUTH_WRITE"
S_NOTAUTH_READおよびS_NOTAUTH_WRITEは、それぞれ、リード動作およびライト動作を追跡するためのキーワードである.この2つのキーワードは、特定のニーズに応じて任意のキーワードで置き換えることができます./etc/security/audit/objectsファイルで同じフォーマットで追跡したいファイルごとに個別のエントリを作成することで、同じキーワードで複数のファイルを追跡することもできます.classes:
abusers = S_NOTAUTH_READ, S_NOTAUTH_WRITE
users:
root = general, abusers
user1=abusers
user2=abusers
.
.
.
userN=abusers
このエントリのセットは、レビューがすべてのユーザー(このリスト内の任意のユーザー)が/home/test.txtファイルに対して実行した読み書き操作をレポートすることを保証します.ユーザーのエントリがすでに存在する場合は、不正なユーザーに対応するエントリを追加し、カンマを使用して前のエントリから分離できます.
このシーンでは、提供される出力フォーマットが異なる以外に、両者の間に大きな違いはありません.いずれかのモードを開くか、両方のモードを開いてデータを収集できます.etc/security/audit/configファイルに適切なエントリを作成することで、それらを開くか閉じることができます.次の例では、STREAMモードを開きます.
start:
bin mode = off
stream mode = on
以上の手順で/home/testを確認します.txtファイルは監査サブシステムの観察下にある.
出力の監視
出力を監視するには、まず次のコマンドを使用して監査サブシステムを起動します.本稿は、IBM developerWorks中国
ここをクリックして全文をご覧ください