教你如何配置安全的SOLARIS系统-xxlinux.com




┊linux社区┊ 爱心援助 ┊ Linux认证┊系列教程 ┊ 业界动态┊ 站务新闻 ┊ 公司招聘┊ 建议留言 ┊ 网址大全 ┊LPI专题┊ CISCO专题

设为首页

加入收藏

管理团队

联盟首页	入门区	安装配置	使用技巧	桌面应用	开发区	WEB开发	数据库	内核研究	SHELL	软件开发
软件下载	网络区	服务器	网络应用	网络安全	UNIX区	UNIX入门	UNIX提高	C专题	JAVA专题	嵌入应用
开发语言	PHP	JSP	ASP	ASP.NET	JAVA	C/C++/C#	PERL	JavaScript	Basic	Delphi

		您的位置：首页 > article > unix > unix入门 >

栏目导栏

unix入门

unix提高

资料搜索

最新文章

·Solaris SSH的配置和管理介绍

·在Unix环境下mount ISO文件

·Solaris 管理员常用的168条命令

·solaris raid 制作大集合

·在Solaris下使用USB存储设备

·SecureCRT访问HPUX没办法用vi问

·scounix网络设置心得

·solaris网络配置

·solaris上直接运行linux二进制

·HP Unix的补丁安装

·系统备份与恢复命令：fbackup+

·Oracle 10g基于Solaris 9 x86平

·完全硬盘安装solaris10

·solaris点滴9.29-10.07

·solaris volume manager do RA

教你如何配置安全的SOLARIS系统

[ 作者:Linux联盟收集加入时间:2006-06-25 15:30:14 来自:chinaunix ]

	� uekLinux联盟 uekLinux联盟八、Solaris系统安全之审计 uekLinux联盟作为C2安全等级操作系统（公安部二级），Solaris最主要的安全功能之一就是审计功能，本文将简单介绍Solaris审计功能的使用和启动。 uekLinux联盟目的：纪录系统和用户事件，并对审计过程自身进行保护。这里值得注意的就是纪录事件的细度。Solaris提供了很强大的审计功能，甚至可以纪录每一条调试信息，但是这样做是不明智的，因为很多信息对用户没用，而且会使系统性能下降。审计细度需要管理员根据用途和需要自行订制。 uekLinux联盟实现： uekLinux联盟 8.1. 查看日志 uekLinux联盟 1) history文件 uekLinux联盟通常在根目录下，隐藏文件，记录了root执行的命令 uekLinux联盟 2) /var/adm uekLinux联盟 messages：记载来自系统核心的各种运行日志，可以记载的内容是由/etc/syslog.conf决定的 uekLinux联盟 sulog：记载着普通用户尝试su成为其它用户的纪录。它的格式为：发生时间 +/-(成功/失败) pts号 uekLinux联盟 utmpx：这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看 uekLinux联盟 wtmpx：相当于历史纪录，记录着所有登录过主机的用户，时间，来源等内容，可用last命令来看 uekLinux联盟 3) /var/log uekLinux联盟 syslog文件，这个文件的内容一般是纪录mail事件的 uekLinux联盟 uekLinux联盟 8.2. syslog uekLinux联盟 1) 实时错误检查： uekLinux联盟 tail –f /var/adm/messages uekLinux联盟 -f在监视器上允许看见每条记录 /var/adm/messages记录事件路径 uekLinux联盟 2) /etc/syslog.conf语法： uekLinux联盟 .err;kern.debug;deamon.notice;mail.crit /var/adm/messages uekLinux联盟 uekLinux联盟工具认可的值 uekLinux联盟值描述 uekLinux联盟 user 用户进程产生的消息。这是来自没有在文件列表中的设备的消息的默认优先级 uekLinux联盟 kern 由内核产生的消息 uekLinux联盟 mail 邮件系统 uekLinux联盟 daemon 系统守护进程 uekLinux联盟 auth 授权系统，如login、su uekLinux联盟 lpr 行式打印机假脱机系统 uekLinux联盟 news 网络新闻系统USENET保留值 uekLinux联盟 uucp 为UUCP系统保留值，目前UUCP不使用syslog机制 uekLinux联盟 cron Cron/at工具；crontab、at、cron uekLinux联盟 local0-7 为本地使用保留 uekLinux联盟 mark 内部用于由syslog产生的时间戳消息 uekLinux联盟除标记工具之外的所有工具 uekLinux联盟级别认可的值（按重要性降序排列） uekLinux联盟 emerg 用于通常必须广播给所有用户的恐慌情况 uekLinux联盟 alert 必须立即被修正的情况，例如被损坏的系统数据库 uekLinux联盟 crit 用户对关键情况的告警，例如设备错误 uekLinux联盟 err 用于其他错误 uekLinux联盟 warning 用于所有的警告信息 uekLinux联盟 notice 用于没有错误但是可能需要特别处理的情况。 uekLinux联盟 info 通知消息 uekLinux联盟 debug 用于通常只在调试时才使用的消息 uekLinux联盟 none 不发送从指出的设备发来的消息到选定文件中 uekLinux联盟 3) 例如如果要纪录登录信息（telnet），可以这样做： uekLinux联盟 /etc/default/login中：SYSLOG=YES uekLinux联盟 /etc/syslog.conf中添加：auth.notice /export/home/wangyu/log uekLinux联盟（把日志记录在/export/home/wangyu/log文件中，中间不是空格，是Tab） uekLinux联盟重新启动syslog守护进程 uekLinux联盟当telnet上去的时候，我们看到/export/home/wangyu/log中有： uekLinux联盟 Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9 uekLinux联盟 uekLinux联盟 8.3. Loghost uekLinux联盟编辑/etc/syslog.conf，语法： uekLinux联盟 *.err;kern.debug;deamon.notice;mail.crit @loghost uekLinux联盟（记录登录信息） uekLinux联盟重新启动syslog守护进程 uekLinux联盟假设这次我们使用linux做日志主机： uekLinux联盟 [root@wangyu root]#/sbin/setup uekLinux联盟打开配置界面-->;firewall configuration-->;custom-->;other ports: uekLinux联盟写入 syslog:udp uekLinux联盟重新启动防火墙 uekLinux联盟 /etc/init.d/iptables restart或者/etc/init.d/ipchains restart uekLinux联盟设置loghost接收网络日志数据，修改/etc/sysconfig/syslog配置文件： uekLinux联盟修改 SYSLOGD_OPTIONS="-m 0" 为 SYSLOGD_OPTIONS="-r -m 0" uekLinux联盟重新启动syslog守护进程 uekLinux联盟此时/var/log/messages最下端附近会看到类似下面的信息 uekLinux联盟 Aug 11 21:20:30 logserver syslogd 1.3-3: restart. (remote reception) uekLinux联盟当telnet上去的时候，我们看到/var/log/messages中有类似下面的信息： uekLinux联盟 Sep 5 11:08:31 mastadon login: [ID 507249 auth.notice] Login failure on /dev/pts/3 from 192.168.0.9, root uekLinux联盟 uekLinux联盟 8.4. 记帐 uekLinux联盟 Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的 uekLinux联盟运行/usr/lib/acct/accton [路径][文件名] uekLinux联盟（如/usr/lib/acct/accton /export/home/wangyu/test，将日志记录到test中） uekLinux联盟查看的时候将文件移动到/var/adm目录下，改名为pacct uekLinux联盟执行查看命令lastcomm（比如查看用户root，用命令lastcomm root） uekLinux联盟 uekLinux联盟 8.5. BSM（以下部分节减自freedemon的“SecU Solaris p2.3 BSM审计系统”，详见 http://bbs.nsfocus.net/index.php?act=ST&f=10&t=147174） uekLinux联盟 1) 开启BSM： uekLinux联盟 # init 1 (重新引导或改变运行级别到单用户状态) uekLinux联盟 #/etc/security/bsmconv (运行BSM初始化脚本，开启审计功能) uekLinux联盟 # reboot (重新启动系统，或者Ctrl+D改变到多用户状态) uekLinux联盟 2) 关闭BSM审计功能： uekLinux联盟 # init 1 uekLinux联盟 # /etc/security/bsmunconv uekLinux联盟 # reboot uekLinux联盟 3) 配置文件的功能： uekLinux联盟 BSM所有的配置文件都存放在/etc/security目录下( (4)代表详细信息察看man (4) ： uekLinux联盟 audit_class(4) uekLinux联盟审计类别定义 uekLinux联盟 audit_control(4) uekLinux联盟审计进程控制信息 uekLinux联盟 audit_data(4) uekLinux联盟审计进程当前信息 uekLinux联盟 audit.log(4)审计日志格式 uekLinux联盟 audit_event(4) uekLinux联盟时间定义到类别的映射文件 uekLinux联盟 audit_user(4) uekLinux联盟按用户审计时的用户定义文件 uekLinux联盟除了上面的配置文件之外，系统中还有一些用于BSM管理的脚本。 uekLinux联盟 audit_startup(1M) uekLinux联盟启动BSM进程运行。 uekLinux联盟 auditconfig(1M) uekLinux联盟读取配置文件，重新配置audit进程。 uekLinux联盟 auditd(1M) uekLinux联盟审计监控服务。 uekLinux联盟 auditreduce(1M) uekLinux联盟审计事件日志管理，可以调整日志格式，生成时间周期等信息。 uekLinux联盟 auditstat(1M) uekLinux联盟先是内核审计进程状态。 uekLinux联盟 bsmconv(1M) uekLinux联盟开启BSM功能。 uekLinux联盟 bsmunconv(1M) uekLinux联盟关闭BSM功能。 uekLinux联盟 praudit(1M) uekLinux联盟打印BSM审计日志内容。 uekLinux联盟 4) BSM应用 uekLinux联盟在默认配置情况下，BSM每天(24小时)会生成一个以当天日期为名字的审计日志，存放在 /var/audit目录下，这个文件具有自己的数据结构，所以直接查看时是乱码，必须使用系统命令 praudit来查看。 uekLinux联盟 # praudit /var/audit/xxxxxx.xxxxxx.log uekLinux联盟另一个可能用到的命令是auditreduce ，这个命令允许管理员对审计日志做一些设置，例如调整审计事件集或调整审计日志生成周期等等。auditreduce和praudit是系统中BSM管理最基本的两个命令，组合起来可以完成相当多的功能： uekLinux联盟用管道联合两个命令，会显示系统中所有的历史审计事件。 uekLinux联盟 # auditreduce \| praudit uekLinux联盟再加上lp，将把所有审计事件直接打印出来� Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论
	分页：1 2 [3] 4

【评论】【加入收藏夹】【大中小】【打印】【关闭】

※ 相关链接

·隆重推荐：Solaris硬盘分区简介 (2006-06-25 15:29:28)

·Solaris 8网络管理笔记 (2006-06-25 15:26:07)

·Solaris8安装Nessus软件详细过程 (2006-06-25 15:24:22)

·solaris 9 一般安全设置 (2006-06-25 15:15:28)

·Solaris9/8 for sparc+Apache2+PHP+Mysql+”论坛” (2006-06-25 15:10:46)

·nis下solaris和linxu的client.实现autofs (2006-06-25 15:10:08)

·Windows XP 与 Solaris 10 双操作系统安装图片解析 (2006-06-25 15:08:32)

·Solaris日志介绍 (2006-06-25 15:03:00)

·SUN系统的基本安全配置 (2006-06-25 15:00:18)

·solaris8下discuz论坛安装完全手册及简明维护文档 (2006-06-25 14:58:06)



	© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
	Powered by xxlinux.com