设置IDS安全审计
2020-06-05 06:25
162 查看
informix安全审计相关的内容1,adtcfg配置文件: 位于${INFORMIXDIR}/aaodir/ 目录下;2,onaudit 配置程序:用法Onaudit -- Audit Subsystem Configuration Utility
Usage: onaudit [-f file] [-u name] [-r bmsk] [-e eset] [-y] onaudit [-c] [-n] [-l lev] [-e err] [-p path] [-s size]action: one of -a -- add a mask -d -- delete a mask -m -- modify a mask -o -- output a mask -r bmsk -- name of basemask -c -- print audit configuration -n -- start new log file -l lev -- set ADTMODE -e err -- set ADTERR -p path -- set ADTPATH -s size -- set ADTSIZE -f file -- include instruction file -u mask -- name of target/mask -e eset -- event set added to (+) or removed from (-) mask -y -- respond yes to all prompts
3,onshowaudit 实用程序,用于显示审计信息。
开启审计的方法1)通过修改adtcfg配置文件参数ADTMODE 的值。 此方法需要重启数据库才生效。2)通过onaudit -l 1 修改ADTMODE的方式使之后的会话都审计,且修改配置文件adtcfg的值,使重启后也生效。
配置文件adtcfg各参数的含义ADTMODE 0 # Auditing modeADTPATH /opt/informix/aaodir # Directory where audit trails will be written by OnLineADTSIZE 50000 # Maximum size of any single audit trail fileADTERR 0 # Error handling modes.特别指出ADTMODE的含义(以下内容来源于网络)ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动
同可以使用onaudit修改ADTMODE参数一样,亦可使用onaudit命令修改adtcfg中的其它参数(见onaudit语法)。
设置审计掩码使用onaudit 设置维护审计掩码,即onaudit 实用程序的action部分1,增加掩码,_default,_require和_exclude掩码(以上3种为以"_"开头的模版掩码中的特殊掩码)和用户掩码; onaudit -a -u _default -e +ACTB --增加 _default掩码,值为增加ACTB onaudit -a -u _require -e +GRDB --增加 _require掩码,值为增加GRDB onaudit -a -u _exclude -e +RDRW --增加 _exclude掩码,值为增加RDRW onaudit -a -u _ifx -e +CRIX --增加 _ifx 模版掩码,值为增加CRIX onaudit -a -u informix -e +UPRW --增加 informix用户掩码,值为UPRW2,修改掩码,使用onaudit -m onaudit -m -u _default -e +OPDB --修改 _default掩码,值为增加OPDB3,删除掩码,使用onaudit -d onaudit -d -u _default --删除 _default掩码4,显示掩码 onaudit -o
关于掩码的具体信息,请参考 Security in IBM Informix Dynamic Server 一书
示例配置informix审计 设置审计目录为默认 onaudit -p ${INFORMIXDIR}/aaodir1,使用onaudit开启审计 onaudit -l 12,仅设置针对informix用户的DLRW,UPRW两项操作,其中UPRW操作为成功的操作 onaudit -a -u informix -e +DLRW,SUPRW 在4位掩码前加F表示失败操作,S表示成功,不加表示均记录; +表示增加掩码,-表示减去 通过onaudit -o 显示刚增加的掩码,应有刚增加的记录
然后,使用informix用户测试更新/删除表里的记录
3,测试操作完成后,通过onshowaudit查看审计记录,示例:informix% onshowaudit
ONSHOWAUDIT Secure Audit UtilityINFORMIX-SQL Version 11.50.UC6 ONLN|2010-11-08 15:46:06.000|suse10|10311|ids11_online_net|informix|0:UPRW:testdb:103:3145732:261:3145732:261
ONLN|2010-11-08 15:46:15.000|suse10|10311|ids11_online_net|informix|0:DLRW:testdb:103:3145732:261
简单解释下各字段的含义:ONLE-online server,时间字段,会话号,INFORMIXSERVER,用户,审计信息结果
4,删除掩码 onaudit -d -u informix5,停止审计 onaudit -l 0
Usage: onaudit [-f file] [-u name] [-r bmsk] [-e eset] [-y] onaudit [-c] [-n] [-l lev] [-e err] [-p path] [-s size]action: one of -a -- add a mask -d -- delete a mask -m -- modify a mask -o -- output a mask -r bmsk -- name of basemask -c -- print audit configuration -n -- start new log file -l lev -- set ADTMODE -e err -- set ADTERR -p path -- set ADTPATH -s size -- set ADTSIZE -f file -- include instruction file -u mask -- name of target/mask -e eset -- event set added to (+) or removed from (-) mask -y -- respond yes to all prompts
3,onshowaudit 实用程序,用于显示审计信息。
开启审计的方法1)通过修改adtcfg配置文件参数ADTMODE 的值。 此方法需要重启数据库才生效。2)通过onaudit -l 1 修改ADTMODE的方式使之后的会话都审计,且修改配置文件adtcfg的值,使重启后也生效。
配置文件adtcfg各参数的含义ADTMODE 0 # Auditing modeADTPATH /opt/informix/aaodir # Directory where audit trails will be written by OnLineADTSIZE 50000 # Maximum size of any single audit trail fileADTERR 0 # Error handling modes.特别指出ADTMODE的含义(以下内容来源于网络)ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动
同可以使用onaudit修改ADTMODE参数一样,亦可使用onaudit命令修改adtcfg中的其它参数(见onaudit语法)。
设置审计掩码使用onaudit 设置维护审计掩码,即onaudit 实用程序的action部分1,增加掩码,_default,_require和_exclude掩码(以上3种为以"_"开头的模版掩码中的特殊掩码)和用户掩码; onaudit -a -u _default -e +ACTB --增加 _default掩码,值为增加ACTB onaudit -a -u _require -e +GRDB --增加 _require掩码,值为增加GRDB onaudit -a -u _exclude -e +RDRW --增加 _exclude掩码,值为增加RDRW onaudit -a -u _ifx -e +CRIX --增加 _ifx 模版掩码,值为增加CRIX onaudit -a -u informix -e +UPRW --增加 informix用户掩码,值为UPRW2,修改掩码,使用onaudit -m onaudit -m -u _default -e +OPDB --修改 _default掩码,值为增加OPDB3,删除掩码,使用onaudit -d onaudit -d -u _default --删除 _default掩码4,显示掩码 onaudit -o
关于掩码的具体信息,请参考 Security in IBM Informix Dynamic Server 一书
示例配置informix审计 设置审计目录为默认 onaudit -p ${INFORMIXDIR}/aaodir1,使用onaudit开启审计 onaudit -l 12,仅设置针对informix用户的DLRW,UPRW两项操作,其中UPRW操作为成功的操作 onaudit -a -u informix -e +DLRW,SUPRW 在4位掩码前加F表示失败操作,S表示成功,不加表示均记录; +表示增加掩码,-表示减去 通过onaudit -o 显示刚增加的掩码,应有刚增加的记录
然后,使用informix用户测试更新/删除表里的记录
3,测试操作完成后,通过onshowaudit查看审计记录,示例:informix% onshowaudit
ONSHOWAUDIT Secure Audit UtilityINFORMIX-SQL Version 11.50.UC6 ONLN|2010-11-08 15:46:06.000|suse10|10311|ids11_online_net|informix|0:UPRW:testdb:103:3145732:261:3145732:261
ONLN|2010-11-08 15:46:15.000|suse10|10311|ids11_online_net|informix|0:DLRW:testdb:103:3145732:261
简单解释下各字段的含义:ONLE-online server,时间字段,会话号,INFORMIXSERVER,用户,审计信息结果
4,删除掩码 onaudit -d -u informix5,停止审计 onaudit -l 0
相关文章推荐
- Tomcat安全设置规范
- 系统安全审计相关的好书
- Windows Server 2003中的IIS 6.0默认设置是特别严格和安全的,最大只能传送 204800个字节,我们需要修改,以允许从IE中上传更大的附件。解决办法是
- excel2007设置宏的安全级别
- win2003服务器安全设置教程
- [Windows Server 2008] Apache+PHP安全设置
- 最需要监听的Windows五项安全设置
- 数据库安全审计
- Vista网络安全设置
- Discuz! X2 后台有没有自己设置安全提问的地方?
- Windows 2003 服务器目录安全权限设置
- Auditd - Linux 服务器安全审计工具
- centos 服务器安全设置
- Cisco交换机一些端口安全设置
- WEB专用服务器的安全设置的实战技巧
- 21.13-21.17 redis常用操作,数据类型,操作键值,安全设置
- 交换机的端口安全设置
- 用安全模板修改XP本地策略设置
- 交换机的端口安全设置
- windows2003 asp.net 安全设置