启用和禁用审计服务(任务)
审计服务在缺省情况下处于启用状态,且由 auditconfig 命令配置。如果在全局区域中设置 perzone 审计策略,区域管理员可以在其非全局区域中启用、刷新和禁用服务。
如何刷新审计服务
启用审计服务后,如果更改了审计插件的配置,此过程将更新审计服务。
开始之前
您必须分配有 Audit Control(审计控制)权限配置文件。成为具有所需安全属性的管理员。
有关更多信息,请参见如何获取管理权限。
刷新审计服务。# audit -s
注 -刷新审计服务时,将丢失所有临时配置设置。审计策略和队列控制允许临时设置。有关更多信息,请参见 auditconfig(1M) 手册页。
更新当前正在审计的用户的预选掩码。
系统基于与每个进程相关联的审计预选掩码生成审计记录。刷新审计服务不会更改现有进程的掩码。要显式重置现有进程的预选掩码,请参见如何更新已登录用户的预选掩码。
示例 28-22 刷新启用的审计服务
在本示例中,管理员重新配置审计、验证更改,然后刷新审计服务。
首先,管理员添加临时策略。# auditconfig -t -setpolicy +zonename
# auditconfig -getpolicy
configured audit policies = ahlt,arge,argv,perzone
active audit policies = ahlt,arge,argv,perzone,zonename
然后,管理员指定队列控制。# auditconfig -setqctrl 200 20 0 0
# auditconfig -getqctrl
configured audit queue hiwater mark (records) = 200
configured audit queue lowater mark (records) = 20
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 20
active audit queue buffer size (bytes) = 8192
active audit queue delay (ticks) = 20
随后,管理员指定插件属性。
对于 audit_binfile 插件,管理员将删除 qsize 值。# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/audit/sys1.1,/var/audit;
p_minfree=2;p_fsize=4G;
Queue size: 200
# auditconfig -setplugin audit_binfile active "" ""
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/audit/sys1.1,/var/audit
p_minfree=2;p_fsize=4G;
最后的空引号 ("") 将插件的队列大小设置为缺省值。
对于 audit_syslog 插件,管理员将指定要发送到 syslog 的成功登录和注销事件以及失败的可执行文件。此插件的 qsize 设置为 50。# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 50
# auditconfig -getplugin audit_syslog
auditconfig -getplugin audit_syslog
Plugin: audit_syslog (active)
Attributes: p_flags=+lo,-ex;
Queue size: 50
管理员不配置也不使用 audit_remote 插件。
然后,管理员刷线审计服务并验证配置。
不再设置临时 zonename 策略。# audit -s
# auditconfig -getpolicy
configured audit policies = ahlt,arge,argv,perzone
active audit policies = ahlt,arge,argv,perzone
队列控制保留原样。# auditconfig -getqctrl
configured audit queue hiwater mark (records) = 200
configured audit queue lowater mark (records) = 20
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 20
active audit queue buffer size (bytes) = 8192
active audit queue delay (ticks) = 20
audit_binfile 插件没有指定的队列大小。audit_syslog 插件具有指定的队列大小。# auditconfig -getplugin
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Plugin: audit_syslog (active)
Attributes: p_flags=+lo,-ex;
Queue size: 50
...
如何禁用审计服务
本过程显示设置了 perzone 审计策略后如何在全局区域和非全局区域中禁用审计。
如果没有设置 perzone 审计策略,将禁用所有区域的审计。
如果在全局区域中设置了 perzone 审计策略,该策略在启用了审计的非全局区域中保持有效。
由于在全局区域中设置了 perzone 策略,因此非全局区域将继续在全局区域重新引导和非全局区域重新引导时收集审计记录。
开始之前
您必须分配有 Audit Control(审计控制)权限配置文件。成为具有所需安全属性的管理员。
有关更多信息,请参见如何获取管理权限。
运行 audit -t 命令以禁用审计服务。在全局区域中,禁用审计服务。# audit -t
如果没有设置 perzone 审计策略,此命令将禁用所有区域中的审计。
在非全局区域中,禁用审计服务。
如果设置了 perzone 审计策略,非全局区域管理员必须在非全局区域中禁用服务。zone1 # audit -t
如何启用审计服务
本过程在管理员禁用审计服务后为所有区域启用该服务。要在非全局区域中启动审计服务,请参见示例 28-23。
开始之前
要启用或禁用审计服务,您必须分配有 Audit Control(审计控制)权限配置文件。成为具有所需安全属性的管理员。
有关更多信息,请参见如何获取管理权限。
使用 audit -s 命令启用审计服务。# audit -s
有关更多信息,请参见 audit(1M) 手册页。
验证是否已启用审计。# auditconfig -getcond
audit condition = auditing
示例 28-23 在非全局区域中启用审计
在本示例中,区域管理员执行以下操作后,为 zone1 启用审计服务:
全局区域管理员在全局区域中设置 perzone 策略。
非全局区域的区域管理员配置审计服务和每用户定制。
然后,区域管理员为区域启用审计服务。zone1# audit -s
870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
