分类:
2007-08-24 16:19:41
不久前,有用户问起如何在aix中记录用户的信息,以提高系统的安全性。查了一下,可以使用aix中自带的审计功能来解决这个问题。
具体步骤如下:
1、定义 /etc/security/audit/config文件中的class节,单独定义一个类,名称为custom,将需要审计的各种事件依次列出,格式如下:
classes :
Custom = PASSWORD_Change,USER_SU
定义使用这些审计的用户,在同一个文件的user节中定义:
格式如下:
users:
Root = custom
2、增加一个新的文件系统,挂接点为:/audit
3、启动审计程序:audit start
4、系统自动在/audit目录下生成bin1、bin2、trail三个文件
5、查看审计情况
1)如果查看近期的审计情况,执行命令:auditpr –v < bin1 或者 auditpr –v < bin2
2)如果查看历史审计情况,执行命令:auditpr –v < trail
其中,bin1、bin2是两个循环日志,交替使用,其内容定期刷新内容到trail文件中。
6、关闭审计:audit shutdown
7、注意:audit不自动启动、关闭,因此需要在启动脚本和停止脚本中分别增加audit start/audit shutdown,使得每次系统启动/关闭后,自动运行/关闭审计功能。
注意:audit文件在/usr/sbin目录下。
