informix安全审计相关的内容
1,adtcfg配置文件: 位于${INFORMIXDIR}/aaodir/ 目录下;
2,onaudit 配置程序:用法
Onaudit -- Audit Subsystem Configuration Utility
Usage: onaudit [-f file] [-u name] [-r bmsk] [-e eset] [-y] onaudit [-c] [-n] [-l lev] [-e err] [-p path] [-s size]
action: one of
-a -- add a mask
-d -- delete a mask
-m -- modify a mask
-o -- output a mask
-r bmsk -- name of basemask
-c -- print audit configuration
-n -- start new log file
-l lev -- set ADTMODE
-e err -- set ADTERR
-p path -- set ADTPATH
-s size -- set ADTSIZE
-f file -- include instruction file
-u mask -- name of target/mask
-e eset -- event set added to (+) or removed from (-) mask
-y -- respond yes to all prompts
3,onshowaudit 实用程序,用于显示审计信息。
开启审计的方法
1)通过修改adtcfg配置文件参数ADTMODE 的值。 此方法需要重启数据库才生效。
2)通过onaudit -l 1 修改ADTMODE的方式使之后的会话都审计,且修改配置文件adtcfg的值,使重启后也生效。
配置文件adtcfg各参数的含义
ADTMODE 0 # Auditing mode
ADTPATH /opt/informix/aaodir # Directory where audit trails will be written by OnLine
ADTSIZE 50000 # Maximum size of any single audit trail file
ADTERR 0 # Error handling modes.
特别指出ADTMODE的含义(以下内容来源于网络)
ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。
ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。
ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。
ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。
ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。
ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。
ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动
同可以使用onaudit修改ADTMODE参数一样,亦可使用onaudit命令修改adtcfg中的其它参数(见onaudit语法)。
设置审计掩码
使用onaudit 设置维护审计掩码,即onaudit 实用程序的action部分
1,增加掩码,_default,_require和_exclude掩码(以上3种为以"_"开头的模版掩码中的特殊掩码)和用户掩码;
onaudit -a -u _default -e +ACTB --增加 _default掩码,值为增加ACTB
onaudit -a -u _require -e +GRDB --增加 _require掩码,值为增加GRDB
onaudit -a -u _exclude -e +RDRW --增加 _exclude掩码,值为增加RDRW
onaudit -a -u _ifx -e +CRIX --增加 _ifx 模版掩码,值为增加CRIX
onaudit -a -u informix -e +UPRW --增加 informix用户掩码,值为UPRW
2,修改掩码,使用onaudit -m
onaudit -m -u _default -e +OPDB --修改 _default掩码,值为增加OPDB
3,删除掩码,使用onaudit -d
onaudit -d -u _default --删除 _default掩码
4,显示掩码
onaudit -o
示例配置informix审计
设置审计目录为默认 onaudit -p ${INFORMIXDIR}/aaodir
1,使用onaudit开启审计
onaudit -l 1
2,仅设置针对informix用户的DLRW,UPRW两项操作,其中UPRW操作为成功的操作
onaudit -a -u informix -e +DLRW,SUPRW
在4位掩码前加F表示失败操作,S表示成功,不加表示均记录; +表示增加掩码,-表示减去
通过onaudit -o 显示刚增加的掩码,应有刚增加的记录
然后,使用informix用户测试更新/删除表里的记录
3,测试操作完成后,通过onshowaudit查看审计记录,示例:
informix% onshowaudit
ONSHOWAUDIT Secure Audit Utility
INFORMIX-SQL Version 11.50.UC6
ONLN|2010-11-08 15:46:06.000|suse10|10311|ids11_online_net|informix|0:UPRW:testdb:103:3145732:261:3145732:261
ONLN|2010-11-08 15:46:15.000|suse10|10311|ids11_online_net|informix|0:DLRW:testdb:103:3145732:261
简单解释下各字段的含义:ONLE-online server,时间字段,会话号,INFORMIXSERVER,用户,审计信息结果
4,删除掩码
onaudit -d -u informix
5,停止审计
onaudit -l 0
阅读(1756) | 评论(0) | 转发(0) |