Audit 설정 안내

1. AIX에서 Remote Logging 설정

PLURA 상단 메뉴에서 Install Agents 선택
OS별 선택에서 UNIX > AIX 탭 클릭

2. 파일 감사 설정

Audit > config 설정값 변경
감사 서비스 종료

audit off

audit shutdown

config 파일 수정

vi /etc/security/audit/config

  // 값 변경

  set binmode = off

  streammode = on

  // 입력값 추가(class section, user section)

  class:

  system = USER_Remove,USER_Create,GROUP_Create,GROUP_Remove

  init = User_Login

  …

  users:

  root = general

  default = general, system, init

streamcmds 파일 수정

/etc/security/audit/streamcmds

  // 입력값 추가

  /usr/sbin/auditstream | auditpr -v | /usr/bin/logger -p local7.info &

  find /etc -type f | awk ‘{printf(“%s:\n\tw = FILE_Write\n\n”,$1)}’ >> /etc/security/audit/objects

  /usr/sbin/auditstream | /usr/sbin/auditselect -e “event == FILE_Write” | auditpr  -hhelpPRtTc -v > /dev/console &

objects 파일 수정

vi /etc/security/audit/objects

  /etc/hosts:

  w = FILE_Write

Audit Tag Name 설정

vi /etc/security/audit/objects

  /etc/hosts:

  w = W_@태그네임

events 파일 수정

vi /etc/security/audit/events

  W_@태그네임 = printf “%s_qubit”

3. Syslog 모듈 구성

syslog.conf 파일 수정

vi /etc/syslog.conf

  // 입력값 추가

  *.info @로그취합서버 IP주소

  *.debug @로그취합서버 IP주소

  …

  *.debug;*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;mail.none;auth.none  /var/adm/syslog/syslog.log

  #User.debug /var/adm/syslog/syslog.log rotate size 5m files 5

syslog 재시작

refresh -s syslogd

audit 시작

audit off

audit start

4. Audit 필터 등록

PLURA 웹에서 Audit 필터를 등록합니다. (바로가기)

5. Audit 필터 탐지 활용

(바로가기)

참고사이트

https://developer.ibm.com/technologies/systems/articles/au-audit_filter/

PreviousIBM AIX 서버 설정 NextAudit을 이용한 해킹 탐지

Last updated 1 year ago