Chinaunix首页 | 论坛 | 博客
  • 博客访问: 139262
  • 博文数量: 38
  • 博客积分: 2431
  • 博客等级: 少校
  • 技术积分: 470
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-20 09:49
文章分类

全部博文(38)

文章存档

2011年(2)

2010年(14)

2009年(10)

2008年(12)

我的朋友

分类: DB2/Informix

2010-11-08 15:56:09

informix安全审计相关的内容
1,adtcfg配置文件: 位于${INFORMIXDIR}/aaodir/ 目录下;
2,onaudit 配置程序:用法
Onaudit -- Audit Subsystem Configuration Utility

Usage: onaudit [-f file] [-u name] [-r bmsk] [-e eset] [-y]
       onaudit [-c] [-n] [-l lev] [-e err] [-p path] [-s size]
action: one of
    -a   -- add a mask
    -d   -- delete a mask
    -m   -- modify a mask
    -o   -- output a mask
 -r bmsk -- name of basemask
 -c      -- print audit configuration
 -n      -- start new log file
 -l lev  -- set ADTMODE
 -e err  -- set ADTERR
 -p path -- set ADTPATH
 -s size -- set ADTSIZE
 -f file -- include instruction file
 -u mask -- name of target/mask
 -e eset -- event set added to (+) or removed from (-) mask
 -y      -- respond yes to all prompts

3,onshowaudit 实用程序,用于显示审计信息。

开启审计的方法
1)通过修改adtcfg配置文件参数ADTMODE 的值。 此方法需要重启数据库才生效。
2)通过onaudit -l 1 修改ADTMODE的方式使之后的会话都审计,且修改配置文件adtcfg的值,使重启后也生效。

配置文件adtcfg各参数的含义
ADTMODE         0                       # Auditing mode
ADTPATH         /opt/informix/aaodir    # Directory where audit trails will be written by OnLine
ADTSIZE         50000                   # Maximum size of any single audit trail file
ADTERR          0                       # Error handling modes.
特别指出ADTMODE的含义(以下内容来源于网络)
ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。
ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。
ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。
ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。
ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。
ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。
ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动

同可以使用onaudit修改ADTMODE参数一样,亦可使用onaudit命令修改adtcfg中的其它参数(见onaudit语法)。

设置审计掩码
使用onaudit 设置维护审计掩码,即onaudit 实用程序的action部分
1,增加掩码,_default,_require和_exclude掩码(以上3种为以"_"开头的模版掩码中的特殊掩码)和用户掩码;
    onaudit -a -u _default -e +ACTB        --增加 _default掩码,值为增加ACTB
    onaudit -a -u _require -e +GRDB        --增加 _require掩码,值为增加GRDB
    onaudit -a -u _exclude -e +RDRW        --增加 _exclude掩码,值为增加RDRW
    onaudit -a -u _ifx     -e +CRIX        --增加 _ifx 模版掩码,值为增加CRIX
    onaudit -a -u informix -e +UPRW        --增加 informix用户掩码,值为UPRW
2,修改掩码,使用onaudit -m
    onaudit -m -u _default -e +OPDB              --修改 _default掩码,值为增加OPDB
3,删除掩码,使用onaudit -d
    onaudit -d -u _default                       --删除 _default掩码
4,显示掩码
    onaudit -o

关于掩码的具体信息,请参考 Security in IBM Informix Dynamic Server 一书



示例配置informix审计
    设置审计目录为默认 onaudit -p ${INFORMIXDIR}/aaodir
1,使用onaudit开启审计
    onaudit -l 1
2,仅设置针对informix用户的DLRW,UPRW两项操作,其中UPRW操作为成功的操作
    onaudit -a -u informix -e +DLRW,SUPRW
    在4位掩码前加F表示失败操作,S表示成功,不加表示均记录; +表示增加掩码,-表示减去
    通过onaudit -o 显示刚增加的掩码,应有刚增加的记录

然后,使用informix用户测试更新/删除表里的记录

3,测试操作完成后,通过onshowaudit查看审计记录,示例:
informix% onshowaudit

ONSHOWAUDIT Secure Audit Utility
INFORMIX-SQL Version 11.50.UC6    
ONLN|2010-11-08 15:46:06.000|suse10|10311|ids11_online_net|informix|0:UPRW:testdb:103:3145732:261:3145732:261

ONLN|2010-11-08 15:46:15.000|suse10|10311|ids11_online_net|informix|0:DLRW:testdb:103:3145732:261

简单解释下各字段的含义:ONLE-online server,时间字段,会话号,INFORMIXSERVER,用户,审计信息结果

4,删除掩码
    onaudit -d -u informix
5,停止审计
    onaudit -l 0
阅读(1049) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~