為C2安全等級操作系統(公安部二級),Solaris最主要的安全功能之一就是審計功能,本文將簡單介紹Solaris審計功能的使用和啟動。
目的:紀錄系統和用戶事件,並對審計過程自身進行保護。這裡值得注意的就是紀錄事件的細度。Solaris提供了很強大的審計功能,甚至可以紀錄每一條調試信息,但是這樣做是不明智的,因為很多信息對用戶沒用,而且會使系統性能下降。審計細度需要管理員根據用途和需要自行訂制。
實現:
1. 查看日志
1) history文件
通常在根目錄下,隱藏文件,記錄了root執行的命令
2) /var/adm
sulog:記載著普通用戶嘗試su成為其它用戶的紀錄。它的格式為: 發生時間 +/-(成功/失敗) pts號
utmpx:這兩個文件是不具可讀性的,它們記錄著當前登錄在主機上的用戶,管理員可以用w,who等命令來看
wtmpx:相當於歷史紀錄,記錄著所有登錄過主機的用戶,時間,來源等內容,可用last命令來看
3) /var/log
syslog文件,這個文件的內容一般是紀錄mail事件的
2. syslog
1) 實時錯誤檢查:
tail –f /var/adm/messages
-f在監視器上允許看見每條記錄 /var/adm/messages記錄事件路徑
*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages
工具認可的值
值 描述
user 用戶進程產生的消息。這是來自沒有在文件列表中的設備的消息的默認優先級
kern 由內核產生的消息
mail 郵件系統
daemon 系統守護進程
auth 授權系統,如login、su
lpr 行式打印機假脫機系統
news 網絡新聞系統USENET保留值
uucp 為UUCP系統保留值,目前UUCP不使用syslog機制
cron Cron/at工具;crontab、at、cron
local0-7 為本地使用保留
mark 內部用於由syslog產生的時間戳消息
* 除標記工具之外的所有工具
級別認可的值(按重要性降序排列)
emerg 用於通常必須廣播給所有用戶的恐慌情況
alert 必須立即被修正的情況,例如被損壞的系統數據庫
crit 用戶對關鍵情況的告警,例如設備錯誤
err 用於其他錯誤
warning 用於所有的警告信息
notice 用於沒有錯誤但是可能需要特別處理的情況。
info 通知消息
debug 用於通常只在調試時才使用的消息
none 不發送從指出的設備發來的消息到選定文件中
3) 例如如果要紀錄登錄信息(telnet),可以這樣做:
/etc/default/login中:SYSLOG=YES
(把日志記錄在/export/home/wangyu/log文件中,中間不是空格,是Tab)
重新啟動syslog守護進程
當telnet上去的時候,我們看到/export/home/wangyu/log中有:
Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9
3. Loghost
*.err;kern.debug;deamon.notice;mail.crit @loghost
(記錄登錄信息)
重新啟動syslog守護進程
假設這次我們使用linux做日志主機:
[root@wangyu root]#/sbin/setup
打開配置界面-->firewall configuration-->custom-->other ports:
寫入 syslog:udp
重新啟動防火牆
/etc/init.d/iptables restart或者/etc/init.d/ipchains restart
設置loghost接收網絡日志數據,修改/etc/sysconfig/syslog配置文件:
修改 SYSLOGD_OPTIONS="-m 0" 為 SYSLOGD_OPTIONS="-r -m 0"
重新啟動syslog守護進程
此時/var/log/messages最下端附近會看到類似下面的信息
Aug 11 21:20:30 logserver syslogd 1.3-3: restart. (remote reception)
當telnet上去的時候,我們看到/var/log/messages中有類似下面的信息:
Sep 5 11:08:31 mastadon login: [ID 507249 auth.notice] Login failure on /dev/pts/3 from 192.168.0.9, root
4. 記帳
Solaris操作系統可以通過設置日志文件可以對每個用戶的每一條命令進行紀錄,這一功能默認是不開放的
運行/usr/lib/acct/accton [路徑][文件名]
(如/usr/lib/acct/accton /export/home/wangyu/test,將日志記錄到test中)
查看的時候將文件移動到/var/adm目錄下,改名為pacct
執行查看命令lastcomm(比如查看用戶root,用命令lastcomm root)
1) 開啟BSM:
# init 1 (重新引導或改變運行級別到單用戶狀態)
#/etc/security/bsmconv (運行BSM初始化腳本,開啟審計功能)
# reboot (重新啟動系統,或者Ctrl+D改變到多用戶狀態)
2) 關閉BSM審計功能:
# init 1
# /etc/security/bsmunconv
# reboot
3) 配置文件的功能:
BSM所有的配置文件都存放在/etc/security目錄下( (4)代表詳細信息察看man (4) ):
? audit_class(4)
審計類別定義
? audit_control(4)
審計進程控制信息
? audit_data(4)
審計進程當前信息
? audit.log(4)審計日志格式
? audit_event(4)
時間定義到類別的映射文件
? audit_user(4)
按用戶審計時的用戶定義文件
除了上面的配置文件之外,系統中還有一些用於BSM管理的腳本。
? audit_startup(1M)
啟動BSM進程運行。
? auditconfig(1M)
讀取配置文件,重新配置audit進程。
? auditd(1M)
審計監控服務。
? auditreduce(1M)
審計事件日志管理,可以調整日志格式,生成時間周期等信息。
? auditstat(1M)
先是內核審計進程狀態。
? bsmconv(1M)
開啟BSM功能。
? bsmunconv(1M)
關閉BSM功能。
? praudit(1M)
打印BSM審計日志內容。
4) BSM應用
? 在默認配置情況下,BSM每天(24小時)會生成一個以當天日期為名字的審計日志,存放在/var/audit目錄下,這個文件具有自己的數據結構,所以直接查看時是亂碼,必須使用系統命令 praudit來查看。
# praudit /var/audit/xxxxxx.xxxxxx.log
? 另一個可能用到的命令是auditreduce ,這個命令允許管理員對審計日志做一些設置,例如調整審計事件集或調整審計日志生成周期等等。auditreduce和praudit是系統中BSM管理最基本的兩個命令,組合起來可以完成相當多的功能:
用管道聯合兩個命令,會顯示系統中所有的歷史審計事件。
# auditreduce | praudit
再加上lp,將把所有審計事件直接打印出來。
# auditreduce | praudit | lp
如果系統中有相當多的審計信息的話,查找將是非常困難的事情,這條命令可以按照yymmdd的時間格式顯示目標時間段內的審計事件,范例為顯示April 13, 1990, 用戶fred的 登錄類別 審計事件集。
# auditreduce -d 900413 -u fred -c lo | praudit
過濾目標時間所有的登錄日志信息(Class:lo),並且輸出到一個單獨的日志文件中:
# auditreduce -c lo -d 870413 -O /usr/audit_summary/logins
auditreduce的 -b 和 -a 選項允許用戶按照 yyyymmdd00:00:00 的時間格式制定一個時間段(Before & After)。
# auditreduce -a 91071500:00:00 | praudit
# auditreduce -b 91071500:00:00 | praudit
5) 管理工具:
? eXpert-BSMTM
一個很強大的商業BSM分析工具,不過目前也可以免費使用,支持Solaris 7/8 (Sparc|Intel)平台,可以在下面地址下載。
? Sun WBEM
Solaris內置的圖形界面管理工具,也就是AdminConsole,在WBEM 2.3之後的版本支持對BSM信息的管理。可以用下面命令開啟:
# /usr/sadm/bin/wbemadmin (第一次運行時會安裝一系列的管理腳本)
# /usr/sadm/bin/smc (開啟管理終端)
以上,對Solaris審計系統進行了配置,相信大部分用戶行為和入侵行為都被記錄下來了,並且對日志自身也進行了一定保護。如果管理員能及時分析日志,相信可以捕獲大部分入侵企圖和行為。
