informix安全审计.doc

Informix安全审计 完成这一章，你将能够： 理解安全审计的作用 设置安全审计，和审计掩码 分析审计记录 什么是安全审计 安全审计可以创建用户在数据库中活动的事件记录，通过这些记录可检查不平常或可疑的数据库活动。 可以记录的事件有： 成功或者失败的操作。你可以只记录成功的操作，或者只记录失败的操作，或者两种都记录。 online系统的连接。你可以记录与online系统建立连接的情况，包括是谁建立了这个连接，在什么时刻 dbspaces和chunks，归档，赋权，回收权限，或者当前的事务日志都可以被审计。 select,insert,update,或者delete语句都可以被审计，但是不允许只对某一个表的操作进行审计。 管理员首先要创建audit masks（审计掩码），一个audit masks就像一个过滤器，检查用户的活动是否应该被审计。audit masks存储在sysmaster数据库的sysaudit表中。 online会自动在审计日志中插入一条记录。审计日志是一个UNIX文件，其中保存有审计的记录。这个文件有可能会变得很大，主要看audit masks中包括的操作的数量和操作的类型。 user mask（用户掩码）。另外，管理员可以设置一个默认掩码，这样没有设置user mask的用户就可以使用这个默认的掩码。 审计掩码告诉online什么事件需要被审计。审计掩码的种类如下： indiviual masks)。单独审计掩码是为每一个用户创建的掩码，其作用是对每一个用户的活动进行审计的。 (_default masks)。默认的用户掩码会被用在任何没有单独设置掩码的用户上。 (_require masks)。必须的用户掩码会忽略单独用户掩码和默认用户掩码中的内容。任何在_require用户掩码中设置的事件都会被审计，而不管用户的单独掩码中是否设置了这些事件。 _exclusive masks)。排它用户掩码同样会覆盖单独的用户掩码和默认用户掩码。其中包含的事件不会被审计，即使这些事件存在于单独的用户掩码和默认用户掩码中。这些事件不会覆盖_require掩码中的事件。 管理员必须创建所有的掩码；_default,_require,_exclude和单独用户掩码。 在7.10.UD1之后，审计角色可以在用户之间实现独立的审计功能。 DBSSO)的责任是维护审计掩码。 AAO)分析审计记录，发现安全问题。 DBSSO,AAO，和ONLINE管理员应该由不同的人员来担当。 ONLINE系统管理员应该设置两个环境变量。$DBSSOOWNER环境变量应该在DBSSO的登录脚本之中。$AAOWNER环境变量应该设置在AAO的登录脚本中。如果设置了这两个变量： AAO可以打开或者关闭审计功能。 DBSSO可以使用onaudit工具来维护审计掩码。 设置安全审计的步骤： 1.打开安全审计。 2.设置审计参数。 3.创建审计掩码和审计事件。 有两种方法可以打开安全审计：使用onaudit工具，或者通过配置参数。在7.10UD1之前，这些参数是在$ONCONFIG文件中设置，在7.10UD1之后，这些参数在$INFORMIXDIR/aaodir/adtcfg文件中设置。 online的时候生效。你必须明确地打开审计功能： informix用户，运行以下的命令： onaudit -1 1 ADTMODE配置参数，这样在下一次online启动的时候会自动生效。 ADTMODE参数为1来打开安全审计。在修改了这个配置参数之后，你必须重新启动online，让改动生效。在ONLINE7.10.UD1版本之前，这个参数在$ONCONFIG文件中配置，在这个版本之后，这个参数在$INFORMIXDIR/aaodir/adtcfg文件中设置，并增加了更多的功能： ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。 ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。 ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。 ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。 ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。 ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。 ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动 1.指定审计文件的目录： onaudit -p /work/audit ADTPATH /work/audit 2.指定审计文件的大小： onaudit onaudit