AIX命令参考大全,卷 1,a - c - audit 命令

[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]

AIX命令参考大全,卷 1,a - c

audit 命令

用途

控制系统审计。

语法

audit { start | shutdown }

audit { off | onpanic ] }

audit query

描述

audit 命令通过它的几个关键字控制系统审计。每次给出命令时必须包含一个关键字。start 关键字和 shutdown 关键字启动和停止审计系统并重新设置系统配置。off 关键字和 on 关键字暂挂和重新启动审计系统,且不会影响系统配置。query 关键字让您查询当前状态。

审计系统遵循以下配置文件中建立的指示信息:

这些文件中的每一个都在“文件”一节中得到描述。有关配置审计系统的信息,请参阅《AIX 5L V5.2 系统管理指南:操作系统与设备》中的『建立审计』

关键字

start 启动审计子系统。此命令从配置文件中读取指示信息,并执行以下操作:
对象审计
/etc/security/audit/objects 文件中的审计事件定义写入内核以定义目标审计事件。
事件审计
/etc/security/audit/config 文件中的审计类定义写入内核以定义审计类。
二进制审计
如果启动节包含 binmode=on,则根据 /etc/security/audit/config 文件中的二进制节中的配置信息来启动 auditbin 守护进程。
流审计
如果启动节包含 streammode=on,则如 /etc/security/audit/config 文件的流节中所定义的那样调用审计流命令。

注意:应避免从 /etc/inittab 中调用流审计。

用户审计
审计当前登录到系统的所有用户,如果在 /etc/security/audit/config 文件的用户节中已配置他们。
审计记录日志
/etc/security/audit/config 文件中的启动节中定义的那样启用审计记录日志组件。
shutdown 终止审计记录的收集并通过从内核表中除去类的定义来重新设置配置信息。根据后端命令的规范,将所有审计记录从内核缓冲区清仓到二进制文件中(包含在用于二进制方式审计的 /etc/security/audit/bincmds 文件中)或审计流中(包含在用于流审计的 /etc/security/audit/streamcmds 文件中)。审计数据的收集停止,直到给出下一个 audit start 命令才重新开始。
off 暂挂审计系统,但使配置保留有效。数据收集暂停,直到给出 audit on 命令才重新开始。
on [panic] 如果系统正确配置(例如事先使用 audit start 命令且配置依旧有效),则在暂挂后重新启动审计系统。如果给出命令时,审计已经启动,则只有二进制数据收集可以更改。

如果指定 panic 选项,则假如启用二进制数据收集但它们不能写至二进制文件,那么系统将关闭。如果未启用二进制格式,则系统将关闭。
query 以下列格式显示审计子系统的当前状态: 

auditing on {panic} | auditing off
  
二进制管理器关闭 | 是进程号 pid
 
审计事件:
    审计类:审计事件,审计事件...
审计对象:
    对象名称:对象方式:审计事件

安全性

访问控制:此命令应向 root 用户和审计组的成员授予执行(x)访问权。此命令应该是 root 用户的 setuid 并具有可信计算基属性。

访问的文件:

方式 文件
r /etc/security/audit/config
r /etc/security/audit/objects
x /usr/sbin/auditbin
x /usr/sbin/auditstream

示例

  1. 要启动审计进程,请如在《AIX 5L V5.2 安全指南》中的『建立审计』中所描述的那样配置审计系统,并将以下行添加到系统初始化文件(/etc/rc 文件)中: 

    /usr/sbin/audit start 1>&- 2>&-

    每次系统初始化时,审计进程启动(如配置的那样)。

  2. 要终止审计进程的运行,请输入: 

    /usr/sbin/audit shutdown

    数据收集停止直到再次给出 audit start 命令才重新开始。操作系统内核中的类的配置丢失。

    注:audit shutdown 命令也应位于 /etc/shutdown 文件中。
  3. 要暂挂审计子系统,请输入: 

    /usr/sbin/audit off
  4. 要重新启动用 audit off 命令暂挂的审计进程,请输入: 

    /usr/sbin/audit on

    只要系统正确配置,则暂挂的状态结束,再次生成审计记录。

  5. 要显示审计系统的当前状态,请输入: 

    /usr/sbin/audit query

    audit query 状态消息的示例如下:

    auditing on
 
二进制管理器是进程号 123
 
审计事件:
    authentication- USER_Login, USER_Logout
    administration- USER_Create, GROUP_Create
 
审计对象:
    /etc/security/passwd :
      r = AUTH_Read
    /etc/security/passwd : 
      w = AUTH_Write

    此查询告诉您当指定的用户登录或注销时、当指定的管理员创建用户或组时,以及当系统接收到对 /etc/security/passwd 文件进行读写的授权的读写指令时,都将写下审计记录。

文件

/usr/sbin/audit 包含 audit 命令的路径。
/etc/rc 包含系统初始化命令。
/etc/security/audit/config
                          包含审计配置信息。
/etc/security/audit/events
                          列出审计事件和它们的尾部格式规范。
/etc/security/audit/objects
                          列出了每个文件(对象)的审计事件。
/etc/security/audit/bincmds
                          包含处理审计二进制数据的 shell 命令。
/etc/security/audit/streamcmds
                          包含审计流命令。

相关信息

auditbin 守护进程、auditcat 命令、auditconv 命令、auditpr 命令、auditselect 命令、auditstream 命令、login 命令、logout 命令、su 命令。

audit 子例程、auditbin 子例程、auditevents 子例程、auditlog 子例程、auditproc 子例程。

有关审计的一般信息,请参考《AIX 5L V5.2 安全指南》中的『审计概述』

有关用户的标识和认证,任意访问控制、可信计算基以及审计的更多信息,请参考《AIX 5L V5.2 安全指南》中的『单机系统安全性』

要参阅您建立“审计系统”必须采取的步骤,请参考《AIX 5L V5.2 安全指南》中的『建立审计』

[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]