各Unix平台日志审计的配置方法和步骤.doc
《各Unix平台日志审计的配置方法和步骤.doc》由会员分享,可在线阅读,更多相关《各Unix平台日志审计的配置方法和步骤.doc(20页珍藏版)》请在冰豆网上搜索。
各Unix平台日志审计的配置方法和步骤
1 安装部署方法和步骤 2
1.1 日志采集 2
1.2 Aix6.1部署 2
1.3 Aix5.3部署 3
1.4 Aix5.2部署 4
1.5 Aix4.3部署 5
1.6 Solaris10部署 6
1.7 Solaris9部署 7
1.8 Solaris8部署 8
1.9 HPUX11.23部署 9
1.10 HPUX11.31部署 10
1.11 HPUX11.11部署 11
1.12 suse11部署 13
1.13 suse10部署 14
1.14 suse9部署 15
1.15 SCO5.0.6部署 16
2 /etc/syslog.conf中SSIMSyslog接收地址的确定 18
3 预制脚本的下载和执行 19
3.1 预制脚本的下载 19
3.2 AIX平台自动配置脚本的执行 19
4 各Unix平台需要使用的脚本汇总 20
1安装部署方法和步骤
1.1日志采集
1.1.1采集内容
根据日志审计的要求,我们重点关注用户的登录、登出行为和系统守护程序的运行状态。
基于此,我们主要采集Unix系统的一下syslog日志:
nauth.info—用户认证、授权日志,包括用户登录、登出、切换等
nauthpriv.info—用户认证、授权日志,包括用户登录、登出、切换等,和auth功能类似,不同系统有所不同。
ndaemon.info—系统守护进程日志,比如ftp等
n用户登录成功和失败的日志。
1.1.2采集方式
n对于Unix系统自带的syslog日志,通过修改系统的syslog发送配置选项,由自身的syslog进程,将日志发送到SSIM日志采集机
n对于登录成功、失败日志,有些操作系统syslog不产生该类日志,通过定期执行脚本,读取登录日志文件,并发送到syslog进程,由其统一转发到SSIM日志采集机。
1.2Aix6.1部署
1.2.1Syslog配置
1.执行chssys-ssyslogd-a""(由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)
2.修改/etc/syslog.conf文件,在最后增加以下内容:
auth.info<tab>@
authpriv.info<tab>@
daemon.info<tab>@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
3.重启syslogd
stopsrc-ssyslogd
startsrc-ssyslogd
1.2.2Telnet成功登录采集脚本部署
1.增加采集日志脚本
增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:
修改wtmp.sh文件属性,增加可执行权限:
chmod+xwtmp.sh
2.增加crontab执行任务
以root用户登录系统,执行crontab–e增加以下crontab任务,每5分钟执行一次:
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1
1.2.3部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.3Aix5.3部署
1.3.1Syslog配置
1.执行chssys-ssyslogd-a""(由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)
2.修改/etc/syslog.conf文件,在最后增加以下内容:
auth.info<tab>@
authpriv.info<tab>@
daemon.info<tab>@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
3.重启syslogd
stopsrc-ssyslogd
startsrc-ssyslogd
1.3.2Telnet成功登录采集脚本部署
1.增加采集日志脚本
增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:
修改wtmp.sh文件属性,增加可执行权限:
chmod+xwtmp.sh
2.增加crontab执行任务
以root用户登录系统,执行crontab–e增加以下crontab任务,每5分钟执行一次:
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1
1.3.3部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.4Aix5.2部署
1.4.1Syslog配置
1.执行chssys-ssyslogd-a""(由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)
2.修改/etc/syslog.conf文件,在最后增加以下内容:
auth.info<tab>@
authpriv.info<tab>@
daemon.info<tab>@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
3.重启syslogd
stopsrc-ssyslogd
startsrc-ssyslogd
1.4.2Telnet成功登录采集脚本部署
1.增加采集日志脚本
增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:
修改wtmp.sh文件属性,增加可执行权限:
chmod+xwtmp.sh
2.增加crontab执行任务
以root用户登录系统,执行crontab–e增加以下crontab任务,每5分钟执行一次:
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1
1.4.3部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.5Aix4.3部署
1.5.1Syslog配置
4.执行chssys-ssyslogd-a""(由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)
5.修改/etc/syslog.conf文件,在最后增加以下内容:
auth.info<tab>@
authpriv.info<tab>@
daemon.info<tab>@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
6.重启syslogd
stopsrc-ssyslogd
startsrc-ssyslogd
1.5.2Telnet成功登录采集脚本部署
3.增加采集日志脚本
增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:
修改wtmp.sh文件属性,增加可执行权限:
chmod+xwtmp.sh
4.增加crontab执行任务
以root用户登录系统,执行crontab–e增加以下crontab任务,每5分钟执行一次:
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1
1.5.3部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.6Solaris10部署
1.6.1Syslog配置
1.修改系统login参数
vi/etc/default/login
取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:
SYSLOG=YES
SYSLOG_FAILED_LOGINS=0
2.vi/etc/syslog.conf,在文件最后面增加以下两行:
auth.info@
daemon.info@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
3.重启一下syslogd:
svcadmrestart/system/system-log
1.6.2部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.7Solaris9部署
1.7.1Syslog配置
1.修改系统login参数
vi/etc/default/login
取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:
SYSLOG=YES
SYSLOG_FAILED_LOGINS=0
2.vi/etc/syslog.conf,在文件最后面增加以下两行:
auth.info@
daemon.info@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
3.重启一下syslogd:
/etc/init.d/syslogstop
/etc/init.d/syslogstart
1.7.2部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.8Solaris8部署
1.8.1Syslog配置
1.修改系统login参数
vi/etc/default/login
取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:
SYSLOG=YES
SYSLOG_FAILED_LOGINS=0
2.vi/etc/syslog.conf,在文件最后面增加以下两行:
auth.info@
daemon.info@
保存配置
注:
,根据服务器和SSIM采集机所处的网段进行调整
3.重启一下syslogd:
/etc/init.d/syslogstop
/etc/init.d/syslogstart
1.8.2部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.9HPUX11.23部署
1.
升级会员 