设置IDS安全审计

informix安全审计相关的内容

1,adtcfg配置文件:

位于${INFORMIXDIR}/aaodir/ 目录下;

2,onaudit 配置程序:用法

Onaudit -- Audit Subsystem Configuration Utility

Usage: onaudit <action> [-f file] [-u name] [-r bmsk] [-e eset] [-y]
       onaudit [-c] [-n] [-l lev] [-e err] [-p path] [-s size]
action: one of
    -a   -- add a mask
    -d   -- delete a mask
    -m   -- modify a mask
    -o   -- output a mask
 -r bmsk -- name of basemask
 -c      -- print audit configuration
 -n      -- start new log file
 -l lev  -- set ADTMODE
 -e err  -- set ADTERR
 -p path -- set ADTPATH
 -s size -- set ADTSIZE
 -f file -- include instruction file
 -u mask -- name of target/mask
 -e eset -- event set added to (+) or removed from (-) mask
 -y      -- respond yes to all prompts

3,onshowaudit 实用程序,用于显示审计信息。

开启审计的方法
1)通过修改adtcfg配置文件参数ADTMODE 的值。 此方法需要重启数据库才生效。
2)通过onaudit -l 1 修改ADTMODE的方式使之后的会话都审计,且修改配置文件adtcfg的值,使重启后也生效。

配置文件adtcfg各参数的含义

ADTMODE         0                       # Auditing mode
ADTPATH         /opt/informix/aaodir    # Directory where audit trails will be written by OnLine
ADTSIZE         50000                   # Maximum size of any single audit trail file
ADTERR          0                       # Error handling modes.

特别指出ADTMODE的含义(以下内容来源于网络)
ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。
ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。
ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。
ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。
ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。
ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。
ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动

同可以使用onaudit修改ADTMODE参数一样,亦可使用onaudit命令修改adtcfg中的其它参数(见onaudit语法)。

设置审计掩码
使用onaudit 设置维护审计掩码,即onaudit 实用程序的action部分
1,增加掩码,_default,_require和_exclude掩码(以上3种为以"_"开头的模版掩码中的特殊掩码)和用户掩码;

    onaudit -a -u _default -e +ACTB        --增加 _default掩码,值为增加ACTB
    onaudit -a -u _require -e +GRDB        --增加 _require掩码,值为增加GRDB
    onaudit -a -u _exclude -e +RDRW        --增加 _exclude掩码,值为增加RDRW
    onaudit -a -u _ifx     -e +CRIX        --增加 _ifx 模版掩码,值为增加CRIX
    onaudit -a -u informix -e +UPRW        --增加 informix用户掩码,值为UPRW

2,修改掩码,使用onaudit -m

    onaudit -m -u _default -e +OPDB              --修改 _default掩码,值为增加OPDB

3,删除掩码,使用onaudit -d

    onaudit -d -u _default                       --删除 _default掩码

4,显示掩码

    onaudit -o

关于掩码的具体信息,请参考 Security in IBM Informix Dynamic Server 一书

示例配置informix审计

设置审计目录为默认 onaudit -p ${INFORMIXDIR}/aaodir

1,使用onaudit开启审计

    onaudit -l 1

2,仅设置针对informix用户的DLRW,UPRW两项操作,其中UPRW操作为成功的操作

    onaudit -a -u informix -e +DLRW,SUPRW

在4位掩码前加F表示失败操作,S表示成功,不加表示均记录; +表示增加掩码,-表示减去
通过onaudit -o 显示刚增加的掩码,应有刚增加的记录

然后,使用informix用户测试更新/删除表里的记录

3,测试操作完成后,通过onshowaudit查看审计记录

示例:

informix% onshowaudit

ONSHOWAUDIT Secure Audit Utility
INFORMIX-SQL Version 11.50.UC6    
ONLN|2010-11-08 15:46:06.000|suse10|10311|ids11_online_net|informix|0:UPRW:testdb:103:3145732:261:3145732:261

ONLN|2010-11-08 15:46:15.000|suse10|10311|ids11_online_net|informix|0:DLRW:testdb:103:3145732:261

简单解释下各字段的含义:
ONLE-online server,时间字段,会话号,INFORMIXSERVER,用户,审计信息结果

4,删除掩码

    onaudit -d -u informix

5,停止审计

    onaudit -l 0

标签: 审计, onaudit

添加新评论