AIX审计系统研究.docx

??

?

??

AIX审计系统研究

?

?

?

?

?

??

?

?

?

张振峰，朱建平(公安部信息安全等级保护评估中心，北京100142)

摘要：操作系统[来自WW]管理员越来越重视审计系统在安全领域的重要性。但如何配置和使用好审计系统是系统管理员所关心的问题。本文以AIX系统为例，介绍了审计系统的概念、AIX审计系统的命令，并通过实例介绍了如何配置AIX审计系统。

关键词：重要信息系统；AIX；审计；配置

TP393.08：A：1671-1122(2010)12—0035-03

0引言

通常信息系统安全防范包括身份鉴别、访问控制、入侵防范、安全审计、恶意代码防范、剩余信息保护及备份恢复等几个方面；其中安全审计的配置较为复杂，且审计内容需要根据系统自身的情况来定制。很多系统管理员只是开启了默认的系统审计内容，这样做的后果有种情况：一是因为没有配置任何审计内容，没有起到审计的作用；二是没有对默认审计事件和审计对象做裁剪，导致大量审计日志迅速耗尽系统资源，导致系统可用性大大降低。因此很多系统管理员干脆不开启审计系统，这样就导致系统在遭到入侵或破坏后无法快速回溯入侵源和损失。

本文以AIX系统为例，介绍了AIX审计子系统Auditing的概念、AIX审计系统的命令。并通过实例介绍了如何配置AIX审计系统，以供参考。

1Auditing系统的概念

Auditing子系统提供了一种纪录系统安全方面信息的方法，同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时，提供及时的警告信息，这些Auditing子系统所搜集的信息包括：可被审计的事件名称，事件状态（成功或失败），别的安全相关的信息。

AIX定义了一些可被审计的事件，可以在/etc/security/audit/events中找到，通常，这些事件都是定义在系统调用级别的。那么，一条命令可以产生多个事件，例如，如果用户通过cat或more命令来显示文件，可以在审计报告中发现下列事件：FILE_Open（打开文件）；FILE_Read（读文件）；FILE_Write（写文件）；PROC_Create（产生进程cat或more）；PROC_Execute（执行命令）；PROC_Delete（进程执行完毕）。

如果不加选择审计所有的事件会产生非常大量的数据，通过修改审计配置文件/etc/security/audit/config，可以选择需纪录的事件。

审计事件可以组成类，多个功能类似或相近的审计事件可以为它们定义一个类，类的定义也在/etc/security/audit/config中有，类的名字可以任意指定，类和用户UID是关联在一起的，需要对某用户定义其需要被事件的类。

审计对象是那些单个可以被审计的文件，能够审计的操作包括读、写和执行，审计对象和用户的UID不关联，只要这些文件被操作，不管是来自哪个用户，都可以产生审计纪录。审计对象在/etc,/security/audit/objects中定义，如下：

/etc/serurity/environ:

w=¨S_ENVIRON_WRITE

/etc/security/group:

w=S_CROUP_WRITE

/etc/security/limits:

w=1．S_LIMITS_WRJTE

/etc/security/login.cfg:

w=S_LOCIN_WRITE

/etc/security/pasqwd:

r=S_PASSWD_READ

w=”S_PASSWD_WRITE

/etc/security/user:

w=S_USER_WRITE

/etc/securily/audit/config:

w=AIJD_CONFIC_WR

其中第一行为审计对象的文件名，第二行为输出的格式，该格式在/etc/security/audit/events中定义如下：

/etc/seeurity/environ

S_ENVIRON_WRITE=printf“%s”

/etc/group

S_CROUP_WRITE=printf”%sacute;j

/etc/securny/limits

S_LIMITS_WRITE=printf”%s

用户可以自己在该文件中定义审计对象。

审计可以两种模式运行：BIN和STREAM，BIN模式指的是audit将结果写入临时文件bins，然后在写入到一个单一的文件中去。STREAM模式指的是审计子系统通过伪设备文件/dev/audit将数据写入一个固定大小的文件，当写入数据超出时，最早写入的数据将被覆盖。

审计子系统可以其中一种模式或两种模式启动。我们可以编辑审计子系统的配置文件/ele/security/audit/config来更改所用模式，