auditbin
在审计子系统中的 auditbin 守护进程管理交替收集守护审计事件数据的 bin1 和 bin2 临时二进制文件。此命令还将数据记录的二进制文件传送到后端命令来处理。
当审计事件发生时,操作系统内核将一个记录写至一个二进制文件。当一个二进制文件满时,auditbin 守护进程读取 /etc/security/audit/bincmds 文件并将二进制记录传送到在该文件中定义的后端命令。/etc/security/audit/bincmds 文件的每行都包括一个或多个命令以及可以一起传送或重定向的输入和输出。auditbin 守护进程在每个命令中搜索 $bin 字符串和 $trail 字符串,并用当前二进制文件的路径名称和系统跟踪文件来替换这些字符串。
auditbin 守护进程确保每个命令至少遇到二进制文件一次,但不会同步到这些二进制文件的访问。当所有的命令已经运行了以后,二进制文件准备就绪来收集更多的审计记录。
如果一个命令不成功,auditbin 守护进程停止传送数据记录并在 root 用户或审计组成员停止此命令之前,每隔 60 秒向 /dev/tty 设备发送一条消息。
访问控制:此命令应向 root 用户和审计组的成员授予执行(x)访问权。此命令应该是 root 用户的 setuid 并具有可信计算基属性。
访问的文件:
| 方式 | 文件 |
|---|---|
| r | /etc/security/audit/config |
| r | /etc/security/audit/bincmds |
| rw | 定义审计二进制文件和跟踪文件 |
| x | 所有的二进制审计处理命令 |
start: binmode = on bin: trail = /audit/trail bin1 = /audit/bin1 bin2 = /audit/bin2 binsize = 25000 cmds = /etc/security/audit/bincmds
/usr/sbin/auditcat -p -o $trail $bin /usr/sbin/auditselect -e "event == USER_Login" \ $bin | /usr/sbin/auditpr >> /etc/log
第一行命令行将压缩的审计二进制文件附加到审计跟踪文件。第二行从每个二进制文件中选择 USER_Login 记录,将它们传送到 auditpr 命令进行格式化,并将这些记录附加到 /etc/log 文件。
| /usr/sbin/auditbin | 指定 auditbin 守护进程的路径。 |
| /audit/binx | 指定缺省二进制收集文件的路径,x 指出二进制编号。 |
| /etc/security/audit/config | |
| 包含审计系统配置信息。 | |
| /etc/security/audit/events | |
| 包含系统审计事件。 | |
| /etc/security/audit/objects | |
| 包含被审计对象(文件)的审计事件。 | |
| /etc/security/audit/bincmds | |
| 包含 auditbin 后端命令。 | |
| /etc/security/audit/streamcmds | |
| 包含 auditstream 命令。 | |
audit 命令、auditcat 命令、auditconv 命令、auditpr 命令、auditselect 命令、auditstream 命令。
《AIX 5L V5.2 安全指南》中的『审计概述』。
要参阅您建立“审计系统”必须采取的步骤,请参考《AIX 5L V5.2 安全指南》中的『建立审计』。
有关用户的标识和认证,任意访问控制、可信计算基以及审计的更多信息,请参考《AIX 5L V5.2 安全指南》中的『单机系统安全性』。