教你如何配置安全的SOLARIS系统[整理][5]

    （记录登录信息） 
    重新启动syslog守护进程 
    假设这次我们使用linux做日志主机： 
     [root@wangyu root]#/sbin/setup 
    打开配置界面-->firewall configuration-->custom-->other ports: 
    写入 syslog:udp 
    重新启动防火墙 
    /etc/init.d/iptables restart或者/etc/init.d/ipchains restart 
    设置loghost接收网络日志数据，修改/etc/sysconfig/syslog配置文件： 
    修改 SYSLOGD_OPTIONS="-m 0" 为 SYSLOGD_OPTIONS="-r -m 0" 
    重新启动syslog守护进程 
    此时/var/log/messages最下端附近会看到类似下面的信息 
    Aug 11 21:20:30 logserver syslogd 1.3-3: restart. (remote reception) 
    当telnet上去的时候，我们看到/var/log/messages中有类似下面的信息： 
    Sep 5 11:08:31 mastadon login: [ID 507249 auth.notice] Login failure on /dev/pts/3 from 192.168.0.9, root 

    8.4. 记帐 
    Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的 
    运行/usr/lib/acct/accton [路径][文件名] 
    （如/usr/lib/acct/accton /export/home/wangyu/test，将日志记录到test中） 
    查看的时候将文件移动到/var/adm目录下，改名为pacct 
    执行查看命令lastcomm（比如查看用户root，用命令lastcomm root） 

    8.5. BSM（以下部分节减自freedemon的“SecU Solaris p2.3 BSM审计系统”，详见    http://bbs.nsfocus.net/index.php?act=ST&f=10&t=147174） 
    1) 开启BSM： 
    # init 1 (重新引导或改变运行级别到单用户状态) 
    #/etc/security/bsmconv (运行BSM初始化脚本，开启审计功能) 
    # reboot (重新启动系统，或者Ctrl+D改变到多用户状态) 
    2) 关闭BSM审计功能： 
    # init 1 
    # /etc/security/bsmunconv 
    # reboot 
    3) 配置文件的功能： 
    BSM所有的配置文件都存放在/etc/security目录下( (4)代表详细信息察看man (4) ： 
    audit_class(4) 
    审计类别定义 
    audit_control(4) 
    审计进程控制信息 
    audit_data(4) 
    审计进程当前信息 
    audit.log(4)审计日志格式 
    audit_event(4) 
    时间定义到类别的映射文件 
    audit_user(4) 
    按用户审计时的用户定义文件 
    除了上面的配置文件之外，系统中还有一些用于BSM管理的脚本。 
    audit_startup(1M) 
    启动BSM进程运行。 
    auditconfig(1M) 
    读取配置文件，重新配置audit进程。 
    auditd(1M) 
    审计监控服务。 
    auditreduce(1M) 
    审计事件日志管理，可以调整日志格式，生成时间周期等信息。 
    auditstat(1M) 
    先是内核审计进程状态。 
    bsmconv(1M) 
    开启BSM功能。 
    bsmunconv(1M) 
    关闭BSM功能。 
    praudit(1M) 
    打印BSM审计日志内容。 
    4) BSM应用 
    在默认配置情况下，BSM每天(24小时)会生成一个以当天日期为名字的审计日志，存放在    /var/audit目录下，这个文件具有自己的数据结构，所以直接查看时是乱码，必须使用系统命令 praudit来查看。 
    # praudit /var/audit/xxxxxx.xxxxxx.log 
    另一个可能用到的命令是auditreduce ，这个命令允许管理员对审计日志做一些设置，例如调整审计事件集或调整审计日志生成周期等等。auditreduce和praudit是系统中BSM管理最基本的两个命令，组合起来可以完成相当多的功能： 
    用管道联合两个命令，会显示系统中所有的历史审计事件。 
    # auditreduce | praudit 
    再加上lp，将把所有审计事件直接打印出来。 
    # auditreduce | praudit | lp 
    如果系统中有相当多的审计信息的话，查找将是非常困难的事情，这条命令可以按照yymmdd的时间格式显示目标时间段内的审计事件，范例为显示April 13, 1990, 用户fred的登录类别审计事件集。 
    # auditreduce -d 900413 -u fred -c lo | praudit