各Unix平台日志审计的配置方法和步骤.doc

1、各Unix平台日志审计的配置方法和步骤1安装部署方法和步骤21.1日志采集21.2Aix 6.1部署21.3Aix 5.3部署31.4Aix 5.2部署41.5Aix 4.3部署51.6Solaris 10部署61.7Solaris 9部署71.8Solaris 8部署81.9HPUX 11.23部署91.10HPUX 11.31部署101.11HPUX 11.11部署111.12suse 11部署131.13suse 10部署141.14suse 9部署151.15SCO 5.0.6部署162/etc/syslog.conf中SSIM Syslog接收地址的确定183预制脚本的下载和执行19

2、3.1预制脚本的下载193.2AIX平台自动配置脚本的执行194各Unix平台需要使用的脚本汇总201 安装部署方法和步骤1.1 日志采集1.1.1 采集内容根据日志审计的要求，我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此，我们主要采集Unix系统的一下syslog日志：n auth.info用户认证、授权日志，包括用户登录、登出、切换等n authpriv.info用户认证、授权日志，包括用户登录、登出、切换等，和auth功能类似，不同系统有所不同。n daemon.info系统守护进程日志，比如ftp等n 用户登录成功和失败的日志。1.1.2 采集方式n 对于Unix系

3、统自带的syslog日志，通过修改系统的syslog发送配置选项，由自身的syslog进程，将日志发送到SSIM日志采集机n 对于登录成功、失败日志，有些操作系统syslog不产生该类日志，通过定期执行脚本，读取登录日志文件，并发送到syslog进程，由其统一转发到SSIM日志采集机。1.2 Aix 6.1部署1.2.1 Syslog配置1 执行chssys -s syslogd -a （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）2 修改/etc/syslog.conf文件，在最后增加以下内容：auth.infotabauthpriv.infotabdaemon.inf

4、otab保存配置注：，根据服务器和SSIM采集机所处的网段进行调整3 重启syslogdstopsrc -s syslogdstartsrc -s syslogd1.2.2 Telnet成功登录采集脚本部署1 增加采集日志脚本增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod +x wtmp.sh2 增加crontab执行任务以root用户登录系统，执行crontab e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55 * *

5、* * /var/adm/wtmp.sh /dev/null 2&11.2.3 部署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。1.3 Aix 5.3部署1.3.1 Syslog配置1 执行chssys -s syslogd -a （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）2 修改/etc/syslog.conf文件，在最后增加以下内容：auth.infotabauthpriv.infotabdaemon.infotab保存配置注：，根据服务器和SSIM采集机所处的网段进行调整3 重启sysl

6、ogdstopsrc -s syslogdstartsrc -s syslogd1.3.2 Telnet成功登录采集脚本部署1 增加采集日志脚本增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod +x wtmp.sh2 增加crontab执行任务以root用户登录系统，执行crontab e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 2&11.3.3 部

7、署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。1.4 Aix 5.2部署1.4.1 Syslog配置1 执行chssys -s syslogd -a （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）2 修改/etc/syslog.conf文件，在最后增加以下内容：auth.infotabauthpriv.infotabdaemon.infotab保存配置注：，根据服务器和SSIM采集机所处的网段进行调整3 重启syslogdstopsrc -s syslogdstartsrc -s syslogd1

8、.4.2 Telnet成功登录采集脚本部署1 增加采集日志脚本增加采集脚本wtmp.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod +x wtmp.sh2 增加crontab执行任务以root用户登录系统，执行crontab e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 2&11.4.3 部署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解

9、析监控，确保日志能够及时发送并成功解析。1.5 Aix 4.3部署1.5.1 Syslog配置4 执行chssys -s syslogd -a （由于做过安全加固，导致syslog发送不出来，需要通过该命令修改）5 修改/etc/syslog.conf文件，在最后增加以下内容：auth.infotabauthpriv.infotabdaemon.infotab保存配置注：，根据服务器和SSIM采集机所处的网段进行调整6 重启syslogdstopsrc -s syslogdstartsrc -s syslogd1.5.2 Telnet成功登录采集脚本部署3 增加采集日志脚本增加采集脚本wtmp

10、.sh到/var/adm目录下，wtmp.sh脚本内容请参考文件wtmp.sh：修改wtmp.sh文件属性，增加可执行权限：chmod +x wtmp.sh4 增加crontab执行任务以root用户登录系统，执行crontab e增加以下crontab任务,每5分钟执行一次：0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 2&11.5.3 部署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。1.6 Solaris 10部署1.6.1

11、 Syslog配置1 修改系统login参数vi /etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：SYSLOG=YESSYSLOG_FAILED_LOGINS=02 vi /etc/syslog.conf，在文件最后面增加以下两行：auth.infodaemon.info保存配置注：，根据服务器和SSIM采集机所处的网段进行调整3 重启一下syslogd:svcadm restart /system/system-log1.6.2 部署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，

12、确保日志能够及时发送并成功解析。1.7 Solaris 9部署1.7.1 Syslog配置1 修改系统login参数vi /etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：SYSLOG=YESSYSLOG_FAILED_LOGINS=02 vi /etc/syslog.conf，在文件最后面增加以下两行：auth.infodaemon.info保存配置注：，根据服务器和SSIM采集机所处的网段进行调整3 重启一下syslogd:/etc/init.d/syslog stop /etc/init.d/syslog start1

13、.7.2 部署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。1.8 Solaris 8部署1.8.1 Syslog配置1 修改系统login参数vi /etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释，并设置相应的参数：SYSLOG=YESSYSLOG_FAILED_LOGINS=02 vi /etc/syslog.conf，在文件最后面增加以下两行：auth.infodaemon.info保存配置注：，根据服务器和SSIM采集机所处的网段进行调整3 重启一下syslogd:/etc/init.d/syslog stop /etc/init.d/syslog start1.8.2 部署结果测试在主机侧进行telnet登录成功和失败测试，在SSIM侧进行日志收集和解析监控，确保日志能够及时发送并成功解析。1.9 HPUX 11.23部署1.