跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
BART 是一个文件完整性扫描和报告工具,它使用加密强度校验和及文件系统元数据来确定变化。BART 能够识别损坏的或异常的文件,从而可帮助您检测安全违规或解决性能问题。使用 BART 可轻松且可靠地报告所部署的系统上安装的文件中的差异,从而减少管理系统网络的成本。
使用 BART,可以根据已知的基准线确定系统上已发生的文件级别更改。可以使用 BART 从完全安装并配置的系统创建基准线或控制清单。之后,可以将此基准线与系统快照进行比较,以生成一个报告,列出自从该系统安装以来发生的文件级别更改。
BART 使用强大而灵活的简单语法。使用此工具,可以跟踪在一段时间内给定系统上的文件变化。您还可以跟踪相似系统间的文件差异。此类比较可帮助您找出损坏或异常的文件,或其软件过期的系统。
BART 的其他优点和用途包括:
您可以指定要监视哪些文件。例如,您可以监视本地定制设置,这有助于您轻松高效地重新配置软件。
您可以解决系统性能问题。
BART 创建两个主要文件,一个清单和一个比较文件(或称为报告)。使用可选的规则文件,您可以定制清单和报告。
清单是系统在特定时间的文件级快照。清单包含有关文件属性的信息,其中可能包括一些唯一标识信息,如校验和。bart create 命令的选项可针对特定的文件和目录。规则文件可提供更细粒度的过滤,如BART Rules 文件中所述。
注 - 缺省情况下,BART 会对根 (/) 目录下的所有 ZFS 文件系统进行编目。还会对其他文件系统类型(例如 NFS 或 TMPFS 文件系统,以及已挂载的 CD-ROM)进行编目。
可以在初始安装 Oracle Solaris 之后立即创建系统的清单。您还可以在配置系统后创建一个清单来满足您的站点的安全策略。这种类型的控制清单为您提供了一个基线,供以后进行比较时使用。
基线清单可用于跟踪在一段时间内同一系统上的文件完整性。它还可以用作与其他系统进行比较的基础。例如,您可以为网络上的其他系统创建快照,然后将这些清单与基线清单进行比较。报告的文件差异指明了将其他系统与基线系统进行同步所需执行的操作。
有关清单的格式,请参见BART 清单文件格式。要创建清单,请使用 bart create 命令,如如何创建控制清单中所述。
BART 报告列出两个清单间的每文件差异。差异是指两个清单中列出的某个给定文件的任何属性发生的变化。文件项的添加或删除也被视为差异。
为进行有效的比较,两个清单必须针对同一文件系统。创建和比较清单时还必须使用相同的选项和规则文件。
有关报告的格式,请参见BART 报告。要创建报告,请使用 bart compare 命令,如如何比较同一个系统在一段时间内的清单中所述。
BART 规则文件是您创建的一个文件,用来过滤或咬定特定的文件和文件属性以将其包含在内或排除在外。然后,您在创建 BART 清单和报告时可以使用该文件。在比较清单时,使用 rules 文件有助于标记清单间的差异。
注 - 如果使用某个规则文件创建了一个清单,则在创建比较清单必须使用同一规则文件。在对清单进行比较时也必须使用该规则文件。否则,报告会列出许多无效的差异。
要使用 rules 文件来监视系统上的特定文件和文件属性,需要进行规划。在创建 rules 文件之前,请首先确定您要监视系统上的哪些文件和文件属性。
规则文件中也可能包含由于用户错误而导致的语法错误和其他不明确信息。如果规则文件有错误,也会报告这些错误。
有关规则文件的格式,请参见BART Rules 文件格式和 bart_rules(4) 手册页。要创建规则文件,请参见如何通过使用 Rules 文件定制 BART 报告。