test

系统管理指南:安全性服务

Procedure如何创建审计文件的分区

以下过程说明如何创建审计文件及相应文件系统和目录的分区。根据需要可跳过一些步骤,具体取决于是否已经具有空分区,或者是否已经挂载了空文件系统。

  1. 承担主管理员角色,或成为超级用户。

    主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《系统管理指南:基本管理》中的第 2  章 “使用 Solaris Management Console(任务)”

  2. 确定所需的磁盘空间量。

    至少为每台主机指定 200 MB 磁盘空间。但是,由于所需审计量决定磁盘空间需求,因此,所需的磁盘空间可能远大于此数字。请记住要包括一个用于最后使用的目录的本地分区。

  3. 根据需要创建专用的审计分区。

    此步骤可以在服务器安装期间非常轻松地完成。另外,还可以在尚未挂载到服务器上的磁盘中创建分区。有关如何创建分区的完整说明,请参见《系统管理指南:设备和文件系统》中的第 12  章 “管理磁盘(任务)”


    # newfs /dev/rdsk/cwtxdysz

    其中 /dev/rdsk/cwtxdysz 是分区的原始设备名称。

    如果要审计本地主机,还要为本地主机创建最后使用的审计目录。

  4. 为每个新分区创建挂载点。


    # mkdir /var/audit/server-name.n

    其中 server-name.n 是服务器名称加一个标识各个分区的数字。数字是可选的,但是存在多个审计目录时,此数字非常有用。

  5. 添加自动挂载新分区的项。

    将类似以下内容的行添加到 /etc/vfstab 文件:


    /dev/dsk/cwtxdysz /dev/rdsk/cwtxdysz /var/audit/server-name.n   ufs  2  yes

  6. (可选的)删除每个分区上的最小空闲空间阈值。

    如果使用缺省配置,则会在目录的使用率达到 80% 时生成警告,出现此消息后,便无需再在分区上保留空闲空间。


    # tunefs -m 0 /var/audit/server-name.n

  7. 挂载新的审计分区。


    # mount /var/audit/server-name.n

  8. 在新分区上创建审计目录。


    # mkdir /var/audit/server-name.n/files

  9. 更正挂载点和新目录的权限。


    # chmod -R 750 /var/audit/server-name.n/files

  10. 在文件服务器上,定义其他主机可以使用的文件系统。

    通常,会安装磁盘组来存储审计记录。如果一个审计目录要供多个系统使用,则必须通过 NFS 服务来共享此目录。在 /etc/dfs/dfstab 文件中针对每个目录添加类似以下内容的项:


    share -F nfs /var/audit/server-name.n/files

  11. 在文件服务器上,重新启动 NFS 服务。

    如果该命令是已启动的第一个或第一组 share 命令,则 NFS 守护进程可能未运行。

    • 如果 NFS 服务处于脱机状态,请启用此服务。


      % svcs \*nfs\*

disabled       Nov_02   svc:/network/nfs/rquota:default

offline        Nov_02   svc:/network/nfs/server:default

# svcadm enable network/nfs/server

    • 如果 NFS 服务正在运行,请重新启动此服务。


      % svcs \*nfs\*

online         Nov_02   svc:/network/nfs/client:default

online         Nov_02   svc:/network/nfs/server:default

# svcadm restart network/nfs/server

    有关 NFS 服务的更多信息,请参阅《系统管理指南:网络服务》中的“设置 NFS 服务”。有关管理持久性服务的信息,请参见《系统管理指南:基本管理》中的第 14  章 “管理服务(概述)”smf(5) 手册页。

示例 29–12 创建最后使用的审计目录

运行审计服务的所有系统都应具有一个本地文件系统,当其他文件系统不可用时可以使用此本地文件系统。在本示例中,将在名为 egret 的系统上添加一个文件系统。由于此文件系统只在本地使用,因此无需执行任何关于文件服务器的步骤。


# newfs /dev/rdsk/c0t2d0

# mkdir /var/audit/egret

# grep egret /etc/vfstab

/dev/dsk/c0t2d0s1  /dev/rdsk/c0t2d0s1  /var/audit/egret ufs  2  yes  -

# tunefs -m 0 /var/audit/egret

# mount /var/audit/egret

# mkdir /var/audit/egret/files

# chmod -R 750 /var/audit/egret/files
示例 29–13 创建新的审计分区

在本示例中,将在由网络中其他系统使用的两个新磁盘上创建一个新的文件系统。


# newfs /dev/rdsk/c0t2d0

# newfs /dev/rdsk/c0t2d1

# mkdir /var/audit/egret.1

# mkdir /var/audit/egret.2

# grep egret /etc/vfstab

/dev/dsk/c0t2d0s1  /dev/rdsk/c0t2d0s1  /var/audit/egret.1 ufs  2  yes  -

/dev/dsk/c0t2d1s1  /dev/rdsk/c0t2d1s1  /var/audit/egret.2 ufs  2  yes  -

# tunefs -m 0 /var/audit/egret.1

# tunefs -m 0 /var/audit/egret.2

# mount /var/audit/egret.1

# mount /var/audit/egret.2

# mkdir /var/audit/egret.1/files

# mkdir /var/audit/egret.2/files

# chmod -R 750 /var/audit/egret.1/files /var/audit/egret.2/files

# grep egret /etc/dfs/dfstab

 share -F nfs /var/audit/egret.1/files

 share -F nfs /var/audit/egret.2/files

# svcadm enable network/nfs/server