1、各Unix平台日志审计的配置方法和步骤1安装部署方法和步骤21.1日志采集21.2Aix 6.1部署21.3Aix 5.3部署31.4Aix 5.2部署41.5Aix 4.3部署51.6Solaris 10部署61.7Solaris 9部署71.8Solaris 8部署81.9HPUX 11.23部署91.10HPUX 11.31部署101.11HPUX 11.11部署111.12suse 11部署131.13suse 10部署141.14suse 9部署151.15SCO 5.0.6部署162/etc/syslog.conf中SSIM Syslog接收地址的确定183预制脚本的下载和执行19
2、3.1预制脚本的下载193.2AIX平台自动配置脚本的执行194各Unix平台需要使用的脚本汇总201 安装部署方法和步骤1.1 日志采集1.1.1 采集内容根据日志审计的要求,我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此,我们主要采集Unix系统的一下syslog日志:n auth.info用户认证、授权日志,包括用户登录、登出、切换等n authpriv.info用户认证、授权日志,包括用户登录、登出、切换等,和auth功能类似,不同系统有所不同。n daemon.info系统守护进程日志,比如ftp等n 用户登录成功和失败的日志。1.1.2 采集方式n 对于Unix系
3、统自带的syslog日志,通过修改系统的syslog发送配置选项,由自身的syslog进程,将日志发送到SSIM日志采集机n 对于登录成功、失败日志,有些操作系统syslog不产生该类日志,通过定期执行脚本,读取登录日志文件,并发送到syslog进程,由其统一转发到SSIM日志采集机。1.2 Aix 6.1部署1.2.1 Syslog配置1 执行chssys -s syslogd -a (由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)2 修改/etc/syslog.conf文件,在最后增加以下内容:auth.infotabauthpriv.infotabdaemon.inf
4、otab保存配置注:,根据服务器和SSIM采集机所处的网段进行调整3 重启syslogdstopsrc -s syslogdstartsrc -s syslogd1.2.2 Telnet成功登录采集脚本部署1 增加采集日志脚本增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性,增加可执行权限:chmod +x wtmp.sh2 增加crontab执行任务以root用户登录系统,执行crontab e增加以下crontab任务,每5分钟执行一次:0,5,10,15,20,25,30,35,40,45,50,55 * *
5、* * /var/adm/wtmp.sh /dev/null 2&11.2.3 部署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。1.3 Aix 5.3部署1.3.1 Syslog配置1 执行chssys -s syslogd -a (由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)2 修改/etc/syslog.conf文件,在最后增加以下内容:auth.infotabauthpriv.infotabdaemon.infotab保存配置注:,根据服务器和SSIM采集机所处的网段进行调整3 重启sysl
6、ogdstopsrc -s syslogdstartsrc -s syslogd1.3.2 Telnet成功登录采集脚本部署1 增加采集日志脚本增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性,增加可执行权限:chmod +x wtmp.sh2 增加crontab执行任务以root用户登录系统,执行crontab e增加以下crontab任务,每5分钟执行一次:0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 2&11.3.3 部
7、署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。1.4 Aix 5.2部署1.4.1 Syslog配置1 执行chssys -s syslogd -a (由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)2 修改/etc/syslog.conf文件,在最后增加以下内容:auth.infotabauthpriv.infotabdaemon.infotab保存配置注:,根据服务器和SSIM采集机所处的网段进行调整3 重启syslogdstopsrc -s syslogdstartsrc -s syslogd1
8、.4.2 Telnet成功登录采集脚本部署1 增加采集日志脚本增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性,增加可执行权限:chmod +x wtmp.sh2 增加crontab执行任务以root用户登录系统,执行crontab e增加以下crontab任务,每5分钟执行一次:0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 2&11.4.3 部署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解
9、析监控,确保日志能够及时发送并成功解析。1.5 Aix 4.3部署1.5.1 Syslog配置4 执行chssys -s syslogd -a (由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)5 修改/etc/syslog.conf文件,在最后增加以下内容:auth.infotabauthpriv.infotabdaemon.infotab保存配置注:,根据服务器和SSIM采集机所处的网段进行调整6 重启syslogdstopsrc -s syslogdstartsrc -s syslogd1.5.2 Telnet成功登录采集脚本部署3 增加采集日志脚本增加采集脚本wtmp
10、.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:修改wtmp.sh文件属性,增加可执行权限:chmod +x wtmp.sh4 增加crontab执行任务以root用户登录系统,执行crontab e增加以下crontab任务,每5分钟执行一次:0,5,10,15,20,25,30,35,40,45,50,55 * * * * /var/adm/wtmp.sh /dev/null 2&11.5.3 部署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。1.6 Solaris 10部署1.6.1
11、 Syslog配置1 修改系统login参数vi /etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:SYSLOG=YESSYSLOG_FAILED_LOGINS=02 vi /etc/syslog.conf,在文件最后面增加以下两行:auth.infodaemon.info保存配置注:,根据服务器和SSIM采集机所处的网段进行调整3 重启一下syslogd:svcadm restart /system/system-log1.6.2 部署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,
12、确保日志能够及时发送并成功解析。1.7 Solaris 9部署1.7.1 Syslog配置1 修改系统login参数vi /etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:SYSLOG=YESSYSLOG_FAILED_LOGINS=02 vi /etc/syslog.conf,在文件最后面增加以下两行:auth.infodaemon.info保存配置注:,根据服务器和SSIM采集机所处的网段进行调整3 重启一下syslogd:/etc/init.d/syslog stop /etc/init.d/syslog start1
13、.7.2 部署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。1.8 Solaris 8部署1.8.1 Syslog配置1 修改系统login参数vi /etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:SYSLOG=YESSYSLOG_FAILED_LOGINS=02 vi /etc/syslog.conf,在文件最后面增加以下两行:auth.infodaemon.info保存配置注:,根据服务器和SSIM采集机所处的网段进行调整3 重启一下syslogd:/etc/init.d/syslog stop /etc/init.d/syslog start1.8.2 部署结果测试在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。1.9 HPUX 11.23部署1.
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1