AIX® надає прості способи проконтролювати час останнього доступу до файлу. Приклад - команда ls. Але іноді потрібно знати, хто (або який процес) отримував доступ до файлу. Така інформація може знадобитися для налагодження або контролювання важливих файлів. Відстежувати відомості, пов'язані з операціями читання і запису для файлу, можливо за допомогою аудиту.
У AIX системи аудиту призначені для запису відомостей, пов'язаних з безпекою і для попередження адміністраторів про дірки в безпеці. Ви можете налаштувати конфігурацію і файли даних про об'єкт, які використовуються підсистемою аудиту, для контролю за будь-яких цікавлять вас файлом. Також можна використовувати одну з можливостей аудиту, а саме моніторинг в режимі реального часу, для відстеження певних процесів і файлів, які довільно змінюються непізнаними процесами.
Все, що потрібно для контролю файлів - це звичайна система AIX з правами адміністратора (root). Для команди audit дозволений доступ на виконання для адміністратора (root) і користувачів групи audit. Користувачі повинні входити в групу audit, щоб мати дозвіл виконувати аудит в системі.
Узагальнена послідовність кроків для контролювання файлів:
Налаштування підсистеми аудиту
Налаштування підсистеми аудиту вимагає створення спеціальних записів в файлах даних про об'єкт і в файлах налаштувань, які підсистема аудиту використовує, щоб генерувати результати.
У цьому сценарії ми стежимо за файлом /home/test.txt. Щоб налаштувати підсистему аудиту, слід виконати такі операції:
- У файлі / etc / security / audit / objects створимо запис для /home/test.txt, використовуючи наступний формат:
S_NOTAUTH_READ і S_NOTAUTH_WRITE - це ключові слова для контролю читання і запису відповідно. Ці ключові слова можуть бути замінені будь-яким іншим ключовим словом, в залежності від ваших вимог.
Також можливий контроль більш ніж одного файлу за допомогою того ж ключового слова, за допомогою індивідуальних записів в файлі / etc / security / audit / objects для кожного файлу, який ви хочете контролювати, в такому ж форматі.
Цей набір записів у файлі гарантує, що будь-яка операція читання або запису, застосована до файлу /home/test.txt будь-яким користувачем з цього списку, буде проконтрольована і зафіксована підсистемою аудиту. Якщо запис для користувача вже існує, то можна додати запис для abusers, відокремивши її від попередньої за допомогою коми.
У нашому сценарії немає значної різниці між двома режимами, за винятком формату виведення. Для збору даних можливо включити будь-який або відразу обидва режими. Режими можуть бути включені і вимкнені зміною відповідних записів у файлі etc / security / audit / config. Приклад нижче включає режим STREAM.
Зазначені вище кроки гарантують, що файл /home/test.txt складається під наглядом підсистеми аудиту.
моніторинг виведення
Щоб робити моніторинг виведення, спочатку запускаємо підсистему аудиту, виконавши команду:
Збір даних в режимі STREAM
Так як збір даних включений в режимі STREAM, то можна почати збір даних, виконавши команду:
Ця команда забезпечує наступну інформацію:
Результати аудиту записуються в файл /audit/stream.out, який може спостерігатися в реальному часі для контролювання операцій читання і запису.
Типовий висновок виглядає так, як показано в лістингу 1.
Лістинг 1. Файл виводу - збір даних в режимі STREAM
Інтерпретація вихідного файлу проста. Наприклад, наступний рядок
Збір даних в режимі BIN
Якщо включено збір даних в режимі BIN, то можна почати збір даних, виконавши наступну команду:
Ця команда записує результати аудиту в файл /audit.out, який також може спостерігатися в реальному часі.
Типовий висновок виглядає так, як показано в лістингу 2.
Лістинг 2. Файл виводу - збір даних в двійковому режимі
Ми можемо спостерігати за файлами виведення і стежити за операціями читання і записи в наших файлах.
Ресурси для скачування
Схожі теми
- IBM Redbooks. прочитайте документ "Звітність і аудит у AIX 5L" і дізнайтеся, як налаштувати, обслуговувати і діагностувати просунуті функції для ведення аудиту та звітності в системах AIX 5L ™.
- Оригінал статті Use auditing to track reads and writes in a file. (EN)
- Podcasts. налаштуйтеся і йдіть в ногу з технічними експертами IBM. (EN)