使用审核来跟踪对文件的读写操作

最新推荐文章于 2024-04-02 09:26:33 发布
最新推荐文章于 2024-04-02 09:26:33 发布
阅读量892 收藏
点赞数
分类专栏: UNIX/Linux 安全 文章标签: aix stream 安全相关 ibm user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ibmjournal/article/details/1842572
版权
在本文中,将介绍如何在 AIX® 中使用审核(AIX 安全方面的一个重要特性)来跟踪多个事件,并了解如何使用审核来跟踪对文件的读写操作。另外,还将研究一些相关的命令,如 ls 或者 istat,以检查文件的时间戳。

引言

AIX® 提供了一些简单的方式以跟踪最近对文件的访问。ls 命令就是一个示例。但是,有时您还希望了解是谁、或者哪个进程对该文件进行了访问。您可能需要这样的信息,以便进行调试或者对重要的文件进行跟踪。在审核 的帮助之下,您可以跟踪对文件的读写操作的相关信息。

在 AIX 中,审核系统用于记录与安全相关的信息,并向管理员发出有关安全问题的警告。您可以自定义配置和目标文件,审核子系统将使用它们来跟踪任何需要跟踪的文件。您还可以使用审核的实时监视特性,以跟踪某些进程和文件(由未标识的进程随意地进行修改)。

跟踪

跟踪文件没有什么特殊的要求;您所需要的是具有 root 访问权限的一个普通的 AIX 系统。audit 命令为 root 用户和 audit 组的成员授予执行访问权限。对于非 root 用户,如果要在系统中执行审核,那么就应该是 audit 组的成员。

跟踪文件的概要步骤如下:

  1. 配置审核子系统
  2. 监视输出

配置审核子系统

配置审核子系统需要在目标和配置文件(审核子系统将其用于生成结果)中建立特定的条目。

在这个场景中,您将要跟踪 /home/test.txt 文件。为配置审核子系统,请尝试下面的操作:

  1. 在 /etc/security/audit/objects 文件中,为 /home/test.txt 建立相应的条目。请使用下面的格式:

     

    /home/test.txt:
	r = "S_NOTAUTH_READ"
	w = "S_NOTAUTH_WRITE"

    S_NOTAUTH_READS_NOTAUTH_WRITE 分别是用于跟踪读操作和写操作的关键字。可以使用任何关键字来替换这两个关键字,这取决于您的具体需求。

    通过在 /etc/security/audit/objects 文件中采用相同的格式为每个想要跟踪的文件建立单独的条目,您还可以使用相同的关键字跟踪多个文件。

  2. 在 /etc/security/audit/config 文件中,在 classes 部分中建立如下所示的条目:

     

    classes:
	abusers = S_NOTAUTH_READ, S_NOTAUTH_WRITE

  3. 在 /etc/security/audit/config 文件中,为所有的用户添加相应的条目,如下所示:

     

    users:
	root = general, abusers
	user1=abusers
	user2=abusers
	.
	.
	.
	userN=abusers

    这组条目可以确保审核将报告所有用户(在这个列表中的任何用户)对 /home/test.txt 文件所执行的读写操作。如果用户的条目已经存在,那么您可以为不正常的使用者追加相应的条目,使用逗号将其与前面的条目隔开。

  4. 审核提供了两种数据监视模式:
    • BIN 模式:将审核事件记录到两个交换使用的临时 BIN 文件中,然后将它们追加到一个审核跟踪文件中。

       

    • STREAM 模式:将审核记录写入到循环缓冲区(该缓冲区可以通过 /dev/audit 设备文件进行读取)。

    在这个场景中,除了所提供的输出格式不同之外,这两者之间并没有什么重大的区别。您可以打开任何一种模式或者同时打开两种模式以收集数据。可以通过在 etc/security/audit/config 文件中建立合适的条目来打开或者关闭它们。下面的示例打开了 STREAM 模式。

     

    start:
        bin mode = off
        stream mode = on

上面的步骤确保 /home/test.txt 文件处于审核子系统的观察之下。

监视输出

要对输出进行监视,首先使用下面的命令启动审核子系统:

 本文转自:IBM developerWorks 中国
点击此处查看全文
ibmjournal
关注
专栏目录
2012文件服务器 读写日志,管理用户访问日志记录记录
weixin_33583401的博客
08-03 1785
管理用户访问日志记录记录10/16/2017本文内容适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012本文档介绍如何管理用户访问日志记录 (UAL)。UAL 是可以帮助服务器管理员量化本地服务器上的角色和服务唯一客户端请求数量的功能。默...
【PTE】Windows操作系统安全
HkD01L的博客
11-02 1112
CISP-PTE国家注册信息安全渗透测试工程师课程笔记Windows系统安全
启用用户进程跟踪
anjichan4261的博客
10-07 111
--======================== -- 启用用户进程跟踪 --======================== 一、用户进程跟踪文件 用户跟踪文件在根据需要跟踪会话实际操作的时候根据要求产生 通常用于帮助调整应用程序,比如检查由SQL的不良写法所致的相关问题等等 由用户进程发出,服务器进程产生该类文件 包含跟踪SQL...
审核文件夹的访问
weixin_34356138的博客
11-14 433
实验二、审核文件夹的访问 实验目标: 使用事件查看器”,可以看到服务器上的“安全”日志中有用户访问文件夹的记录 实验准备: 1.1人1组 2.装备1台真机和一台vm虚拟机(真机为DC,虚拟机为成员服务器) 3.Vm网卡1块,类型为vmnet0,目的是使网络联通 4.实验室网络为192.168.1.0/24 5.IP设置分别为192.168.x.1/24和19...
硬盘读写追踪工具Blktrace&Blkparse
weixin_33840661的博客
03-13 402
1. Blktrace和Blkparse简介blktrace是一个针对Linux内核中块设备I/O层的跟踪工具,用来收集磁盘IO信息中当IO进行到块设备层(block层,所以叫blk trace)时的详细信息(如IO请求提交,入队,合并,完成等等一些列的信息)。通过使用这个工具,使用者可以获取I/O请求队列的各种详细的情况,包括进行读写的进程名称、进程号、执行时间、读写的物理...
audit系统审计
行走的皮卡丘
10-13 3158
什么是审计审计的案例audit审计系统安装软件包,查看配置文件(确定审计日志的位置)配置审计规则查看并分析日志手动查看日志通过工具搜索日志。
windows基线检查
最新发布
m0_69354472的博客
04-02 1791
使用安全评估系统对windows系统进行基线检查
行业文档-设计装置-SECONDO系统文件读写检测软件.zip
08-20
SECONDO系统文件读写检测软件能够实时跟踪和记录设备上所有进程对文件系统的读写操作。这包括打开、关闭、读取、写入、创建、删除等各种操作。通过对这些行为的追踪,用户可以深入了解系统内部的工作流程,找出可能...
ssm框架实现文件审核
10-31
同时,可以使用Java中的文件操作API,如File类和IO流,对文件进行读写操作。在审核过程中,可以使用代码审计的方法,追踪参数并跟踪程序执行步骤,以发现潜在的漏洞点,从而提高审核的准确性和效率。
数据库的审核.docx
06-17
也可以通过审核单个SELECT操作来监控对特定表的数据访问。 #### 三、数据库审核的操作流程 建立数据库审核的基本步骤包括: 1. **创建审核**:定义审核的目标(如文件、Windows安全事件日志等)。 2. **创建审核...
Windows与网络基础-15-本地安全策略
w辣条小王子
09-02 7476
本地管理员为计算机进行设置以确保其安全。例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理,就组成了的本地安全策略!
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8385
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件跟踪机制。自windows2000开始,各
在Windows Server上启用文件文件夹访问审核
allway2的博客
09-26 3262
Windows Server一直是全球部署最广泛的服务器之一,用于支持协作工作环境。由于这些环境的固有性质,其中多个用户可以访问相同的资源,因此确定用户操作的责任变得非常重要。 因此,重要的是审核文件文件夹访问有关的所有用户操作。在本文中,已经说明了在Windows Server 2012上启用文件文件审核的过程。 在Windows Server 2012上,审核文件文件夹访问包括两部分: 启用文件文件审核,可以通过两种方式完成: 通过组策略(对于域,站点和组织单位) 本地安全
AIXL里面的审计的功能
cjh6456022的博客
07-18 676
AIXL里面的审计的功能设置审计以下过程显示如何设置审计子系统。有关更多特定信息,请参考这些步骤中注释的配置文件。从 /etc/security/audit/events 文件中的列表选择系统活动(事件)审计。如果已经向应用程序...
auditctl 监控文件修改
csdnhadoop的博客
04-29 6524
设置监控: auditctl  -w /root/dead.letter -p wxa -k "mon_dead" -w 监控文件路径 /root/dead.letter  -p 监控文件筛选 r(读) w(写) x(执行) a(属性改变) -k 筛选字符串,用于查询监控日志 设置了监控后,会在/var/log/audit/audit.log里出现日志。 可以用
等保安全计算环境之Windows(安全审计+入侵防范)(二级)
土豆鱼香菜的博客
05-12 6700
前言 上篇文章写了关于Windows身份鉴别和访问控制的核查项和核查方法,接下来讲的是安全审计、入侵防范和恶意代码防范的核查项和核查方法。 一、安全审计 1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; a、查看是否启用安全审计功能?是否全面启用? b、或者安装第三方审计工具。 输入命令secpol.msc,选择本地策略——>审核策略。 //预期结果如下: 审核策略更改:成功,失败 审核登录事件: 成功,失败 审核对象访问: 成功,...
Windows操作系统安全加固
江小白
07-24 8591
基于windows7系统进行演示 1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户。 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。) 思考: 1、为什么要禁用Guest用户? Guest账户为临时账户,但是该账户允许用户登录到网络、浏览internet以及关闭计算机。黑客可以通过guest用户提权到administrator组得到管理...
Scanner 文本文件读取与处理
热门推荐
用心编码
07-16 2万+
利用 java.util.Scanner 这个工具,读取文本文件还是比较简单,只需要利用该类的一个构造方法 Scanner(File file),即可,需要传入一个文件对象,当然这就需要利用 java.io.File了,File file = new File(String location);这里需要传入一个文件的地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值