Audit 설정 안내

1. AIX에서 Remote Logging 설정

  • PLURA 상단 메뉴에서 Install Agents 선택

  • OS별 선택에서 UNIX > AIX 탭 클릭

2. 파일 감사 설정

  • Audit > config 설정값 변경

  • 감사 서비스 종료

audit off
audit shutdown

  • config 파일 수정

vi /etc/security/audit/config
  // 값 변경

  set binmode = off

  streammode = on

  // 입력값 추가(class section, user section)

  class:

  system = USER_Remove,USER_Create,GROUP_Create,GROUP_Remove

  init = User_Login



  users:

  root = general

  default = general, system, init

  • streamcmds 파일 수정

/etc/security/audit/streamcmds
  // 입력값 추가

  /usr/sbin/auditstream | auditpr -v | /usr/bin/logger -p local7.info &

  find /etc -type f | awk ‘{printf(“%s:\n\tw = FILE_Write\n\n”,$1)}’ >> /etc/security/audit/objects

  /usr/sbin/auditstream | /usr/sbin/auditselect -e “event == FILE_Write” | auditpr  -hhelpPRtTc -v > /dev/console &

  • objects 파일 수정

vi /etc/security/audit/objects
  /etc/hosts:

  w = FILE_Write

  • Audit Tag Name 설정

vi /etc/security/audit/objects
  /etc/hosts:

  w = W_@태그네임

  • events 파일 수정

vi /etc/security/audit/events
  W_@태그네임 = printf “%s_qubit”

3. Syslog 모듈 구성

  • syslog.conf 파일 수정

vi /etc/syslog.conf
  // 입력값 추가

  *.info @로그취합서버 IP주소

  *.debug @로그취합서버 IP주소



  *.debug;*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;mail.none;auth.none  /var/adm/syslog/syslog.log

  #User.debug /var/adm/syslog/syslog.log rotate size 5m files 5

  • syslog 재시작

refresh -s syslogd

  • audit 시작

audit off
audit start

4. Audit 필터 등록

5. Audit 필터 탐지 활용

참고사이트

https://developer.ibm.com/technologies/systems/articles/au-audit_filter/

PreviousIBM AIX 서버 설정NextAudit을 이용한 해킹 탐지

Last updated