运用Solaris的系统安全特性进行企业审计

　　目的：纪录系统和用户事件，并对审计过程自身进行保护。这里值得注意的就是纪录事件的细度。Solaris提供了很强大的审计功能，甚至可以纪录每一条调试信息，但是这样做是不明智的，因为很多信息对用户没用，而且会使系统性能下降。审计细度需要管理员根据用途和需要自行订制。

　　实现：

　　1. 查看日志

　　1)history文件

　　通常在根目录下，隐藏文件，记录了root执行的命令

　　2)/var/adm

　　messages：记载来自系统核心的各种运行日志，可以记载的内容是由/etc/syslog.conf决定的

　　sulog：记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号

　　utmpx：这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看

　　wtmpx：相当于历史纪录，记录着所有登录过主机的用户，时间，来源等内容，可用last命令来看

　　3)/var/log

　　syslog文件，这个文件的内容一般是纪录mail事件的

　　2. syslog

　　1)实时错误检查：

　　tail –f /var/adm/messages

　　-f在监视器上允许看见每条记录 /var/adm/messages记录事件路径

　　2)/etc/syslog.conf语法：

　　*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages

　　工具认可的值

　　user 用户进程产生的消息。这是来自没有在文件列表中的设备的消息的默认

　　优先级

　　kern 由内核产生的消息

　　mail 邮件系统

　　daemon 系统守护进程

　　auth 授权系统，如login、su

　　lpr 行式打印机假脱机系统

　　news 网络新闻系统USENET保留值

　　uucp 为UUCP系统保留值，目前UUCP不使用syslog机制

　　cron Cron/at工具;crontab、at、cron

　　local0-7 为本地使用保留

　　mark 内部用于由syslog产生的时间戳消息

　　* 除标记工具之外的所有工具

　　级别认可的值(按重要性降序排列)

　　emerg 用于通常必须广播给所有用户的恐慌情况

　　alert 必须立即被修正的情况，例如被损坏的系统数据库

　　crit 用户对关键情况的告警，例如设备错误

　　err 用于其他错误

　　warning 用于所有的警告信息

　　notice 用于没有错误但是可能需要特别处理的情况。

　　info 通知消息

　　debug 用于通常只在调试时才使用的消息

　　none 不发送从指出的设备发来的消息到选定文件中

　　3) 例如如果要纪录登录信息(telnet)，可以这样做：

　　/etc/default/login中：SYSLOG=YES

　　/etc/syslog.conf中添加：auth.notice /export/home/wangyu/log

　　(把日志记录在/export/home/wangyu/log文件中，中间不是空格，是Tab)

　　重新启动syslog守护进程

　　当telnet上去的时候，我们看到/export/home/wangyu/log中有：

　　Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9