鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 操作系统维护 > solaris > >

Solaris系统安全之审计

来源:互联网 作者:佚名 时间:2015-06-03 08:38
作为C 安全等级操作系统(公安部二级) Solaris最主要的安全功能之一就是审计功能 本文将简单介绍Solaris审计功能的使用和启动 目的 纪录系统和用户事件 并对审计过程自身进行保护 这里值得注意的就是纪录事件的细度 Solaris提供了很强大的审计功能 甚至可以

  作为C安全等级操作系统(公安部二级)Solaris最主要的安全功能之一就是审计功能本文将简单介绍Solaris审计功能的使用和启动
  目的纪录系统和用户事件并对审计过程自身进行保护这里值得注意的就是纪录事件的细度Solaris提供了很强大的审计功能甚至可以纪录每一条调试信息但是这样做是不明智的因为很多信息对用户没用而且会使系统性能下降审计细度需要管理员根据用途和需要自行订制
  实现
   查看日志
  ) history文件
  通常在根目录下隐藏文件记录了root执行的命令
  ) /var/adm
  messages记载来自系统核心的各种运行日志可以记载的内容是由/etc/nf决定的
  sulog记载着普通用户尝试su成为其它用户的纪录它的格式为 发生时间 +/(成功/失败) pts号
  utmpx这两个文件是不具可读性的它们记录着当前登录在主机上的用户管理员可以用wwho等命令来看
  wtmpx相当于历史纪录记录着所有登录过主机的用户时间来源等内容可用last命令来看
  ) /var/log
  syslog文件这个文件的内容一般是纪录mail事件的
  
   syslog
  ) 实时错误检查
  tail –f /var/adm/messages
  f在监视器上允许看见每条记录 /var/adm/messages记录事件路径
  ) /etc/nf语法
  *err;kerndebug;deamonnotice;mailcrit /var/adm/messages
  
  工具认可的值
  值  描述
  user  用户进程产生的消息这是来自没有在文件列表中的设备的消息的默认优先级
  kern  由内核产生的消息
  mail  邮件系统
  daemon  系统守护进程
  auth  授权系统如loginsu
  lpr  行式打印机假脱机系统
  news  网络新闻系统USENET保留值
  uucp  为UUCP系统保留值目前UUCP不使用syslog机制
  cron Cron/at工具crontabatcron
  local  为本地使用保留
  mark 内部用于由syslog产生的时间戳消息
  
  * 除标记工具之外的所有工具
  
  级别认可的值(按重要性降序排列)
  emerg  用于通常必须广播给所有用户的恐慌情况
  alert  必须立即被修正的情况例如被损坏的系统数据库
  crit  用户对关键情况的告警例如设备错误
  err  用于其他错误
  warning  用于所有的警告信息
  notice  用于没有错误但是可能需要特别处理的情况
  info  通知消息
  debug  用于通常只在调试时才使用的消息
  none  不发送从指出的设备发来的消息到选定文件中
  
  ) 例如如果要纪录登录信息(telnet)可以这样做
  /etc/default/login中SYSLOG=YES
  /etc/nf中添加authnotice     /export/home/wangyu/log
  (把日志记录在/export/home/wangyu/log文件中中间不是空格是Tab)
  重新启动syslog守护进程
  当telnet上去的时候我们看到/export/home/wangyu/log中有
  Sep :: hlstar login: [ID authnotice] ROOT LOGIN /dev/pts/ FROM
  
   Loghost
  编辑/etc/nf语法
  *err;kerndebug;deamonnotice;mailcrit @loghost
  (记录登录信息)
  重新启动syslog守护进程
  假设这次我们使用linux做日志主机
  [root@wangyu root]#/sbin/setup
  打开配置界面>firewall configuration>custom>other ports: 
  写入 syslog:udp
  重新启动防火墙
  /etc/initd/iptables restart或者/etc/initd/ipchains restart
  设置loghost接收网络日志数据修改/etc/sysconfig/syslog配置文件
  修改  SYSLOGD_OPTIONS=m 为 SYSLOGD_OPTIONS=r m
  重新启动syslog守护进程
  此时/var/log/messages最下端附近会看到类似下面的信息
  Aug :: logserver syslogd : restart (remote reception)
  当telnet上去的时候我们看到/var/log/messages中有类似下面的信息
  Sep  :: mastadon login: [ID authnotice] Login failure on /dev/pts/ from root
  
   记帐
  Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录这一功能默认是不开放的运行/usr/lib/acct/accton [路径][文件名]
  (如/usr/lib/acct/accton /export/home/wangyu/test将日志记录到test中)
  查看的时候将文件移动到/var/adm目录下改名为pacct
  执行查看命令lastcomm(比如查看用户root用命令lastcomm root)
  
   BSM(以下部分节减自freedemon的SecU Solaris p BSM审计系统详见?act=ST&f=&t=
  ) 开启BSM
  # init       (重新引导或改变运行级别到单用户状态)
  #/etc/security/bsmconv    (运行BSM初始化脚本开启审计功能)
  # reboot      (重新启动系统或者Ctrl+D改变到多用户状态)
  ) 关闭BSM审计功能
  # init
  # /etc/security/bsmunconv
  # reboot
  ) 配置文件的功能
  BSM所有的配置文件都存放在/etc/security目录下( ()代表详细信息察看man ()
  &#; audit_class()
  审计类别定义
  &#; audit_control()
  审计进程控制信息
  &#; audit_data()
  审计进程当前信息
  &#; auditlog()审计日志格式
  &#; audit_event()
  时间定义到类别的映射文件
  &#; audit_user()
  按用户审计时的用户定义文件
  除了上面的配置文件之外系统中还有一些用于BSM管理的脚本
  &#; audit_startup(M)
  启动BSM进程运行 
  &#; auditconfig(M)
  读取配置文件重新配置audit进程
  &#; auditd(M)
  审计监控服务
  &#; auditreduce(M)
  审计事件日志管理可以调整日志格式生成时间周期等信息
  &#; auditstat(M)
  先是内核审计进程状态
  &#; bsmconv(M)
  开启BSM功能
  &#; bsmunconv(M)
  关闭BSM功能
  &#; praudit(M)
  打印BSM审计日志内容
  ) BSM应用
  &#; 在默认配置情况下BSM每天(小时)会生成一个以当天日期为名字的审计日志存放在/var/audit目录下这个文件具有自己的数据结构所以直接查看时是乱码必须使用系统命令 praudit来查看
  # praudit /var/audit/xxxxxxxxxxxxlog
  &#; 另一个可能用到的命令是auditreduce 这个命令允许管理员对审计日志做一些设置例如调整审计事件集或调整审计日志生成周期等等auditreduce和praudit是系统中BSM管理最基本的两个命令组合起来可以完成相当多的功能
  用管道联合两个命令会显示系统中所有的历史审计事件
  # auditreduce | praudit
  再加上lp将把所有审计事件直接打印出来
  # auditreduce | praudit | lp
  如果系统中有相当多的审计信息的话查找将是非常困难的事情这条命令可以按照yymmdd的时间格式显示目标时间段内的审计事件范例为显示April 用户fred的 登录类别 审计事件集
  # auditreduce d u fred c lo | praudit
  过滤目标时间所有的登录日志信息(Class:lo)并且输出到一个单独的日志文件中
  # auditreduce c lo d O /usr/audit_summary/logins 
  auditreduce的 b 和 a 选项允许用户按照 yyyymmdd:: 的时间格式制定一个时间段(Before & After)
  # auditreduce a :: | praudit 
  # auditreduce b :: | praudit
  ) 管理工具
  &#; eXpertBSMTM
  一个很强大的商业BSM分析工具不过目前也可以免费使用支持Solaris / (Sparc|Intel)平台可以在下面地址下载
  html
  &#; Sun WBEM
  Solaris内置的图形界面管理工具也就是AdminConsole在WBEM 之后的版本支持对BSM信息的管理可以用下面命令开启
  # /usr/sadm/bin/wbemadmin    (第一次运行时会安装一系列的管理脚本)
  # /usr/sadm/bin/smc       (开启管理终端)
  
  以上对Solaris审计系统进行了配置相信大部分用户行为和入侵行为都被记录下来了并且对日志自身也进行了一定保护如果管理员能及时分析日志相信可以捕获大部分入侵企图和行为
网友评论
<