zoukankan      html  css  js  c++  java

  • 在Solaris10上启用BSM

    BSM可用于Solaris审计。从Solaris10开始,BSM又新增加了一个plugin的功能,可以把审计结果发送给syslog。以下是BSM启用方法。

    1、执行脚本启动审计服务

    root@solora11g # cd /etc/security
    root@solora11g #     ./bsmconv
    This script is used to enable the Basic Security Module (BSM).
    Shall we continue with the conversion now? [y/n] y
    bsmconv: INFO: checking startup file.
    bsmconv: INFO: turning on audit module.
    bsmconv: INFO: initializing device allocation.

    The Basic Security Module is ready.
    If there were any errors, please fix them now.
    Configure BSM by editing files located in /etc/security.
    Reboot this system now to come up with BSM enabled.

    2、修改audit_control文件

    root@solora11g # vi /etc/security/audit_control

    dir:/var/audit
    flags:lo,ex,am,cl,fc,fd,fm,pc,ss,ua
    minfree:20
    naflags:lo
    plugin:name=audit_syslog.so.1;p_flags=lo,ex,am,cl,fc,fd,fm,fr,fw,pc,ss,ua

    其中plugin部分指定将audit信息发送到syslog。p_flags用于过滤发给syslog的信息,只有p_flags指定的审计类信息才发送到syslog.

    3、修改syslog.conf文件,增加audit信息

    在syslog.conf文件中增加以下条目

    audit.notice                 /var/adm/auditlog

    创建auditlog文件

    root@solora11g # touch /var/adm/auditlog

    4、刷新system-log服务,让syslog.conf修改生效

    root@solora11g # svcadm refresh system-log

    5、修改logadm.conf,

    在logadm.conf文件中增加以下条目

    /var/adm/auditlog -C 8 -a 'kill -HUP `cat /var/run/syslog.pid`'

    6、重启solaris

    附注:

    • BSM启用后,系统会自动加载c2audit内核模块

    root@solora11g # modinfo | grep -i audit
     46 fffffffff7918000  17d90 186   1  c2audit (C2 system call)

    • 检查BSM是否启用

    root@solora11g # auditconfig -getcond
    audit condition = auditing

    如果结果为audit condition = auditing 表示BSM已启用

    • 修改audit_control后,让修改生效的方法

    方法一:

    root@solora11g # audit –s

    方法二:

    root@solora11g # svcadm refresh auditd

    • 停止BSM

    root@solora11g # ./bsmunconv

    root@solora11g # shutdown –i6 –g0 –y

    执行bsmunconv并重启后,solaris将不再加载c2audit内核模块,此时将无法enable auditd服务,如下所示

    root@solora11g # modinfo | grep -i audit

    未加载c2audit内核模块
    root@solora11g # svcs -a | grep -i audit
    disabled       14:39:02 svc:/system/auditd:default
    root@solora11g # svcadm enable auditd
    root@solora11g # svcs -a | grep -i audit
    maintenance    14:43:44 svc:/system/auditd:default

    root@solora11g # more /var/svc/log/system-auditd:default.log

    ……

    [ Oct 23 14:43:44 Executing start method ("/lib/svc/method/svc-auditd") ]
    [ Oct 23 14:43:44 Method "start" exited with status 98 ]

    ……

    此时启用auditd服务的话,系统会将auditd服务标识为maintenance状态。具体原因参见/lib/svc/method/svc-auditd脚本

  • 相关阅读:
    求全排列,调用C++函数
    ZOJ 3508 (the war)
    HDU 1285
    SDUT--枚举(删数问题)
    SDUT--进制转换
    位运算
    [NOI2015]软件包管理器
    列队[noip2017]
    [APIO2007]动物园
    [NOI2001]炮兵阵地
  • 原文地址:https://www.cnblogs.com/cqubityj/p/2735613.html
Copyright © 2011-2022 走看看