KornShell 93 的审计功能.doc

　　KornShell 93 的审计功能 　　简介 　　在当今的计算环境中，用户和系统管理员可能会访问遍布全球各地的系统。在不同的位置之间，甚至同一位置，用户和管理员的技能差异非常大。技能水平高的用户可能出于好奇或恶意干扰这些系统的管理，为了保护企业，必须控制和排除这个问题。管理层有责任保护他们所管理的企业，包括客户、职员、投资、信息、数据和业务功能，还要满足法律法规和审计需求。为了履行其职责，管理层必须对访问系统的用户的活动进行监视、跟踪、记录和审计。Korn Shell 的新特性提供的审计功能可以帮助满足这些需求。 　　Korn Shell 93 审计 　　到编写本文时，Korn Shell 93 的最新版本是 2007 年 11 月 5 日发布的 Release ksh93s+。这个版本提供了一个新的编译选项 SHOPT_AUDIT。这个选项可以对任何用户的键盘操作进行日志记录，它可以配置为在本地存储审计信息，也可以使用 Korn Shell 连网功能执行远程存储。这个特性记录的信息包括执行的每个命令、执行每个命令的日期和时间、执行命令的用户以及执行命令所用的 tty。这个选项可以针对不同的用户分别配置，可以包括根用户。审计信息可以存储在每个系统上系统管理员指定的本地文件中，也可以发送到远程系统以便进行集中的日志记录。 　　IBMreg; AIXreg; 提供了多种 Korn Shell 二进制代码，这取决于安装的文件集： 　　/usr/bin/ksh ndash; Korn Shell 88 　　/usr/bin/ksh93 ndash; Korn Shell 93 　　/usr/dt/bin/dtksh ndash; CDE Desktop Korn Shell 93 　　在创建新用户时，默认的 shell 是 /usr/bin/ksh，这是 Korn Shell 88。这也是根用户的默认 shell。 　　不幸的是，IBM AIX 提供的 Korn Shell 93 版本（/usr/bin/ksh93）没有提供 SHOPT_AUDIT 特性。要想在 AIX 系统上实现 Korn Shell 93 审计特性，系统管理员必须从 ATT 下载并编译 Korn Shell 93 的最新版本。本文后面会介绍如何在 AIX 系统上下载、编译和实现 Korn Shell 93 SHOPT_AUDIT 特性。 　　如果不愿意亲自编译 Korn Shell 93，可以在 css/Dood　 0555　 /usr/bin/ksh93.att 　　　 　　不要覆盖 /usr/bin/ksh93 上现有的 Korn Shell 93 二进制代码，因为以后的 AIX 系统更新可能会修改这个文件。 　　Korn Shell 93 的下载和编译过程 　　打开 The KornShell mand And Programming Language 网站（sd/ksh93/Makefile 　　把 SHOPT_AUDIT 的值由 0 改为 1 来启用 Korn Shell 93 审计特性： SHOPT_AUDIT == 1 　　在解压文件的顶层目录中运行 package make 来编译 Korn Shell 93： bin/package make 　　另一种下载和编译过程 　　除了使用图形 akefile 　　把 SHOPT_AUDIT 的值由 0 改为 1 来启用 Korn Shell 93 审计特性： SHOPT_AUDIT == 1 　　在解压文件的顶层目录中运行 package make 来编译 Korn Shell 93： bin/package make 　　编译完成之后，把新的 ksh 二进制文件复制到文件 /usr/bin/ksh93.att 并设置所有者和权限： cp　 src/ksh93/arch/aix/bin/ksh　　/usr/bin/ksh93.att chood　 0555　 /usr/bin/ksh93.att 　　Korn Shell 93 审计配置过程 　　刚才在启用 SHOPT_AUDIT 选项的情况下编译的 Korn Shell 93 二进制代码需要在每个系统上针对要审计的每个用户进行配置。配置指定把审计信息存储在什么地方 在每个系统上本地存储，或者远程存储在另一个系统上。默认的配置文件是 /etc/ksh_audit，可以通过修改 makefile 文件 src/cmd/ksh93/Makefile 中的 SHOPT_AUDITFILE 值改变这个文件名。修改这个值需要重新编译。 　　配置文件 /etc/ksh_audit 应该包含定义审计信息存储位置的一行记录，然后是要审计的每个用户的 UI