跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以后便可以使用此数据来指定主机上执行的操作的职责。成功的审计应包括两个安全功能:识别和验证。每次登录时,在用户提供用户名和口令之后,都将生成一个与此用户的进程关联的唯一审计会话 ID。登录会话期间启动的每个进程都会继承此审计会话 ID。即使用户在单个会话中更改了身份,也会使用同一个审计会话 ID 跟踪所有的用户操作。有关更改身份的更多详细信息,请参见 su(1M) 手册页。
使用审计服务可以:
监视主机上发生的与安全相关的事件
在网络范围的审计迹中记录事件
检测误用或未经授权的活动
查看访问模式以及个人和对象的访问历史记录
发现绕过保护机制的尝试
发现用户更改身份时对特权的扩展使用
在系统配置期间,可以预先选择要监视的审计记录类。还可以针对单个用户微调执行审计的程度。下图显示了 Oracle Solaris 审计流程的详细信息。
图 28-1 审计流程
在内核中收集审计数据后,插件会将数据分发到相应位置。然后,可以使用后选工具来减少和检查所需的审计迹部分。例如,您可以选择查看单个用户或特定组的审计记录。可以检查特定事件类型在特定日期的所有记录。还可以选择在特定时间生成的记录。
安装非全局区域的系统可以从全局区域以相同的方式审计所有区域。还可以配置这些系统,使其收集非全局区域中的不同记录。有关更多信息,请参见审计和 Oracle Solaris 区域。