各Unix平臺日志審計的配置方法和步驟

各Unix平臺日志審計的配置方法和步驟TOC\o"1-2"\h\z\u1 安裝部署方法和步驟 21.1 日志采集 21.2 Aix6.1部署 21.3 Aix5.3部署 31.4 Aix5.2部署 41.5 Aix4.3部署 51.6 Solaris10部署 61.7 Solaris9部署 71.8 Solaris8部署 81.9 HPUX11.23部署 91.10 HPUX11.31部署 101.11 HPUX11.11部署 111.12 suse11部署 131.13 suse10部署 141.14 suse9部署 151.15 部署 162 /etc/syslog.conf中SSIMSyslog接收地址的確定 183 預(yù)制腳本的下載和執(zhí)行 193.1 預(yù)制腳本的下載 193.2 AIX平臺自動配置腳本的執(zhí)行 194 各Unix平臺須要運用的腳本匯總 20安裝部署方法和步驟日志采集采集內(nèi)容依據(jù)日志審計的要求，我們重點關(guān)注用戶的登錄、登出行為和系統(tǒng)守護程序的運行狀態(tài)。基于此，我們主要采集Unix系統(tǒng)的一下syslog日志：—用戶認證、授權(quán)日志，包括用戶登錄、登出、切換等—用戶認證、授權(quán)日志，包括用戶登錄、登出、切換等，和auth功能類似，不同系統(tǒng)有所不同?！到y(tǒng)守護進程日志，比如ftp等用戶登錄勝利和失敗的日志。采集方式對于Unix系統(tǒng)自帶的syslog日志，通過修改系統(tǒng)的syslog發(fā)送配置選項，由自身的syslog進程，將日志發(fā)送到SSIM日志采集機對于登錄勝利、失敗日志，有些操作系統(tǒng)syslog不產(chǎn)生該類日志，通過定期執(zhí)行腳本，讀取登錄日志文件，并發(fā)送到syslog進程，由其統(tǒng)一轉(zhuǎn)發(fā)到SSIM日志采集機。Aix6.1部署Syslog配置執(zhí)行chssys-ssyslogd-a""（由于做過平安加固，導(dǎo)致syslog發(fā)送不出來，須要通過該吩咐修改）修改/etc/syslog.conf文件，在最終增加以下內(nèi)容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh：修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。Aix5.3部署Syslog配置執(zhí)行chssys-ssyslogd-a""（由于做過平安加固，導(dǎo)致syslog發(fā)送不出來，須要通過該吩咐修改）修改/etc/syslog.conf文件，在最終增加以下內(nèi)容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh：修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。Aix5.2部署Syslog配置執(zhí)行chssys-ssyslogd-a""（由于做過平安加固，導(dǎo)致syslog發(fā)送不出來，須要通過該吩咐修改）修改/etc/syslog.conf文件，在最終增加以下內(nèi)容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh：修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。Aix4.3部署Syslog配置執(zhí)行chssys-ssyslogd-a""（由于做過平安加固，導(dǎo)致syslog發(fā)送不出來，須要通過該吩咐修改）修改/etc/syslog.conf文件，在最終增加以下內(nèi)容：＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>＜tab＞@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟syslogdstopsrc-ssyslogdstartsrc-ssyslogdTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh：修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。Solaris10部署Syslog配置修改系統(tǒng)login參數(shù)vi/etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注釋，并設(shè)置相應(yīng)的參數(shù)：SYSLOG=YESSYSLOG_FAILED_LOGINS=0vi/etc/syslog.conf，在文件最終面增加以下兩行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:svcadmrestart/system/system-log部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。Solaris9部署Syslog配置修改系統(tǒng)login參數(shù)vi/etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注釋，并設(shè)置相應(yīng)的參數(shù)：SYSLOG=YESSYSLOG_FAILED_LOGINS=0vi/etc/syslog.conf，在文件最終面增加以下兩行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:/etc/init.d/syslogstop/etc/init.d/syslogstart部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。Solaris8部署Syslog配置修改系統(tǒng)login參數(shù)vi/etc/default/login取消SYSLOG和SYSLOG_FAILED_LOGINS的注釋，并設(shè)置相應(yīng)的參數(shù)：SYSLOG=YESSYSLOG_FAILED_LOGINS=0vi/etc/syslog.conf，在文件最終面增加以下兩行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存配置注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:/etc/init.d/syslogstop/etc/init.d/syslogstart部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。HPUX11.23部署Syslog配置vi/etc/syslog.conf，在文件最終面增加以下兩行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:#/sbin/init.d/syslogdstop#/sbin/init.d/syslogdstartTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmps.sh到/var/adm書目下，wtmps.sh腳本內(nèi)容請參考文件wtmps.sh:修改wtmps.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmps.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmps.sh>/dev/null2>&1Telnet失敗登錄采集腳本部署增加采集日志腳本增加采集腳本btmps.sh到/var/adm書目下，btmps.sh腳本內(nèi)容請參考文件btmps.sh:修改btmps.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xbtmps.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmps.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。HPUX11.31部署Syslog配置vi/etc/syslog.conf，在文件最終面增加以下兩行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:#/sbin/init.d/syslogdstop#/sbin/init.d/syslogdstartTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmps.sh到/var/adm書目下，wtmps.sh腳本內(nèi)容請參考文件wtmps.sh:修改wtmps.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmps.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmps.sh>/dev/null2>&1Telnet失敗登錄采集腳本部署增加采集日志腳本增加采集腳本btmps.sh到/var/adm書目下，btmps.sh腳本內(nèi)容請參考文件btmps.sh:修改btmps.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xbtmps.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmps.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。HPUX11.11部署Syslog配置vi/etc/syslog.conf，在文件最終面增加以下兩行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:#/sbin/init.d/syslogdstop#/sbin/init.d/syslogdstartTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh:修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1Telnet失敗登錄采集腳本部署增加采集日志腳本增加采集腳本btmp.sh到/var/adm書目下，btmp.sh腳本內(nèi)容請參考文件btmp.sh:修改btmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xbtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。suse11部署Syslog配置vi/etc/syslog-ng/syslog-ng.conf.in在最終面增加：destinationssimloghost{udp("<SSIMSyslog接收地址>"port(514));};filterauth_daemon{facility(auth,authpriv,daemon);};log{source(src);filter(auth_daemon);destination(ssimloghost);};保存退出注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟syslog-ng:/etc/init.d/syslogstartTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh:修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。suse10部署Syslog配置vi/etc/syslog-ng/syslog-ng.conf.in在最終面增加：destinationssimloghost{udp("<SSIMSyslog接收地址>"port(514));};filterauth_daemon{facility(auth,authpriv,daemon);};log{source(src);filter(auth_daemon);destination(ssimloghost);};保存退出注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整執(zhí)行吩咐SuSEconfig--modulesyslog-ng重啟syslog-ng:/etc/init.d/syslogstartTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh:修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。suse9部署Syslog配置vi/etc/syslog.conf，在文件最終面增加以下三行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslog接收地址>，依據(jù)服務(wù)器和SSIM采集機所處的網(wǎng)段進行調(diào)整重啟一下syslogd:/sbin/rcsyslogrestartTelnet勝利登錄采集腳本部署增加采集日志腳本增加采集腳本wtmp.sh到/var/adm書目下，wtmp.sh腳本內(nèi)容請參考文件wtmp.sh:修改wtmp.sh文件屬性，增加可執(zhí)行權(quán)限：chmod+xwtmp.sh增加crontab執(zhí)行任務(wù)以root用戶登錄系統(tǒng)，執(zhí)行crontab–e增加以下crontab任務(wù),每5分鐘執(zhí)行一次：0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>/dev/null2>&1部署結(jié)果測試在主機側(cè)進行telnet登錄勝利和失敗測試，在SSIM側(cè)進行日志收集和解析監(jiān)控，確保日志能夠剛好發(fā)送并勝利解析。SCO部署Syslog配置vi/etc/syslog.conf，在文件最終面增加以下三行：<tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址><tab>@<SSIMSyslog接收地址>保存退出注：<SSIMSyslo