Solaris基本審計(jì)和報(bào)告工具使用攻略

1、BART功能簡介

BART與現(xiàn)有審計(jì)工具的主要區(qū)別在于BART在跟蹤信息和報(bào)告信息方面都非常靈活。BART的其他優(yōu)點(diǎn)和用法包括：

"提供了一種為運(yùn)行Solaris軟件的系統(tǒng)在文件層編制目錄的有效而簡便的方法。

"使用BART，可以定義要監(jiān)視的文件，還可以在必要時(shí)修改配置文件。借助這種靈活性，可以監(jiān)視本地的自定義項(xiàng)，并可輕松、有效地重新配置軟件。

"確保系統(tǒng)運(yùn)行可靠的軟件。

"允許監(jiān)視一段時(shí)間內(nèi)系統(tǒng)在文件層的變化，從而幫助找到損壞或異常的文件。

"幫助對(duì)系統(tǒng)性能問題進(jìn)行疑難解答。

　　2、BRAT的組成

基本審計(jì)和報(bào)告工具（BART）由兩個(gè)主要部分和一個(gè)可選部分組成。

（1）BART清單（Manifest）。

可以使用bartcreate命令在特定時(shí)間拍攝系統(tǒng)的文件層快照。輸出是名為清單的關(guān)于文件和文件屬性的目錄。此清單列出了有關(guān)系統(tǒng)上所有文件或特定文件的信息。它包含了有關(guān)文件屬性的信息，其中可以包括一些唯一標(biāo)識(shí)的信息，如MD5校驗(yàn)和。清單可以進(jìn)行存儲(chǔ)，并可以在客戶機(jī)和服務(wù)器系統(tǒng)間傳送。說明：BART不會(huì)跨越文件系統(tǒng)邊界，但同一類型的文件系統(tǒng)除外。此約束使bartcreate命令的輸出更容易預(yù)測。例如，在不帶參數(shù)的情況下，bartcreate命令編制根(/)目錄下所有UFS文件系統(tǒng)的目錄。

（2）BART報(bào)告和輸出

BART報(bào)告有三個(gè)輸出：兩個(gè)文件列表的比較和一個(gè)可能出現(xiàn)的差異標(biāo)記。你能用bartcompare命令比較兩個(gè)文件列表：控制文件列表和測試文件列表。這些文件列表必須是具有相同的文件系統(tǒng)、選項(xiàng)和創(chuàng)建時(shí)使用的規(guī)則文件。bartcompare命令報(bào)告兩個(gè)文件列表的每一行的差異。這個(gè)差異就是指文件列表內(nèi)表示的文件屬性的任何差異。兩個(gè)文件列表中條目的增加和刪除也視為差異。在缺省模式下，bartcompare命令會(huì)檢查系統(tǒng)上安裝的除已修改的目錄時(shí)間標(biāo)記(dirmtime)外所有文件，如以下示例所示：

CHECKall

IGNOREdirmtime

如果提供了rules文件，則全局指令CHECKall和IGNOREdirmtime會(huì)按照以上順序自動(dòng)前置到rules文件之前。

BART輸出，將返回以下退出值：

0：成功

1：處理文件時(shí)出現(xiàn)非致命錯(cuò)誤，如權(quán)限問題

>1：出現(xiàn)致命錯(cuò)誤，如無效的命令行選項(xiàng)

（3）BART規(guī)則文件。

規(guī)則文件是用來管理bart命令的文件，是可選的。它使用或排除一些規(guī)則。規(guī)則文件用來創(chuàng)建定制文件列表和報(bào)告。規(guī)則文件使你能使用簡單的語法設(shè)置文件的類別，以及哪些屬性需要監(jiān)控。當(dāng)你比較文件列表時(shí)，規(guī)則文件幫助識(shí)別差異。使用規(guī)則文件是得到系統(tǒng)專門信息的有效方法。通過規(guī)則文件，可以執(zhí)行以下任務(wù)：

"使用bartcreate命令創(chuàng)建列出有關(guān)系統(tǒng)上所有文件或特定文件的信息的清單。

"使用bartcompare命令生成監(jiān)視文件系統(tǒng)的特定屬性的報(bào)告。
3．BART使用方法

規(guī)則用戶、超級(jí)用戶或具有重要管理權(quán)限的用戶可以使用bart命令。如果你是運(yùn)行bart的規(guī)則用戶，你只能監(jiān)控有權(quán)限訪問的文件和目錄，比如主目錄信息。超級(jí)用戶使用bart命令的優(yōu)勢是可以監(jiān)控隱藏目錄和私人目錄的信息。如果要監(jiān)控嚴(yán)格限制的目錄，比如/etc/shadow和/etc/passwd目錄，就需要是超級(jí)用戶或具有相當(dāng)角色的用戶。Bart是Unix命令行工具，所以首先必須了解相關(guān)參數(shù)：

bartcreate[-n][-R根目錄][-r規(guī)則|-]

bartcreate[-n][-R根目錄][-I|-I文件列表]

bartcompare[-r規(guī)則|-][-i關(guān)鍵字][-p]控制清單文件測試清單文件

（1）使用BRAT創(chuàng)建文件列表。

應(yīng)用實(shí)例：創(chuàng)建目錄etc/nfs下所有文件信息的文件列表。

#bartcreate-R/etc/nfs，如圖1。

圖1創(chuàng)建目錄/etc/nfs下所有文件信息的文件列表

說明：-R選項(xiàng)表示指定清單的根目錄。所有由規(guī)則指定的路徑都會(huì)被解釋為此目錄的相對(duì)路徑。所有由清單報(bào)告的路徑均為此目錄的相對(duì)路徑。

應(yīng)用實(shí)例：創(chuàng)建包含文件/etc/passwd和/etc/shadow的信息的文件列表。

#bartcreate-I/etc/passwd/etc/shadow，如圖2。

圖2創(chuàng)建包含文件/etc/passwd和/etc/shadow的信息的文件列表

說明：-l選項(xiàng)表示：無論是從命令行執(zhí)行此選項(xiàng)，還是從標(biāo)準(zhǔn)輸入中讀取此選項(xiàng)，它都會(huì)接受要列出的單個(gè)文件的列表。

圖2上面已經(jīng)顯示了這兩個(gè)文件的詳細(xì)信息，我們可以對(duì)比一下ls-al命令的輸出，體會(huì)一下它們之間的不同：

#ls-al/etc/passwd

-r--r--r--1rootsys542Dec417:42/etc/passwd

#ls-al/etc/shadow

-r--------1rootsys294Oct1516:09/etc/shadow

顯然，文件列表的內(nèi)容要比ls-al詳細(xì)得多。

（2）如何比較文件列表。

如果我們?cè)诓煌臅r(shí)間對(duì)系統(tǒng)中某個(gè)目錄分別建立了兩個(gè)文件列表，就可以通過比較這兩文件列表的不同而找到這個(gè)目錄的輕微改動(dòng)，這也將為系統(tǒng)安全帶來新的保障。

應(yīng)用實(shí)例：比較不同時(shí)間的/etc目錄的變化。

首先，建立/etc的文件列表：

bartcreate-R/etc>system1.control.081101

在另一個(gè)時(shí)間建立/etc目錄的新的文件列表：

bartcreate-R/etc>system1.control.081112

最后，比較兩個(gè)文件列表的內(nèi)容：

#bartcomparesystem1.control.081101system1.control.081112如圖3。

圖3比較不同時(shí)間的/etc目錄的變化

　�。�3）比較不同系統(tǒng)的清單與控制系統(tǒng)的清單

您可以運(yùn)行系統(tǒng)間比較，這樣可以迅速確定在基準(zhǔn)系統(tǒng)和其他系統(tǒng)之間是否存在任何文件層差異。例如，如果您已經(jīng)在基準(zhǔn)系統(tǒng)上安裝了特定版本的Solaris軟件，并且需要了解其他系統(tǒng)是否也安裝了相同的軟件包，則可以創(chuàng)建那些系統(tǒng)的清單，然后將測試清單與控制清單進(jìn)行比較。此類比較會(huì)列出與控制系統(tǒng)比較的每個(gè)測試系統(tǒng)在文件內(nèi)容方面的任何差異。

下面這個(gè)例子介紹了如何通過比較控制清單與不同系統(tǒng)的測試清單來監(jiān)視/usr/bin目錄內(nèi)容的更改。

"創(chuàng)建控制清單。

#bartcreate-R/usr/bin>control-manifest.121203

"為需要與控制系統(tǒng)進(jìn)行比較的系統(tǒng)創(chuàng)建測試清單。

#bartcreate-R/usr/bin>system2-manifest.121503

"需要比較清單時(shí)，將清單復(fù)制到同一位置。

#cpcontrol-manifest/net/system2.central/bart/manifests

"將控制清單與測試清單進(jìn)行比較。

#bartcomparecontrol-manifestsystem2.test>system2.report

/su:

gidcontrol:3test:1

/ypcat:

mtimecontrol:3fd72511test:3fd9eb23

上面的輸出指示了/usr/bin目錄中su文件的組ID與控制系統(tǒng)中的組ID不同。此信息有助于確定測試系統(tǒng)上是否安裝了不同版本的軟件或是否有人篡改了文件。

總結(jié)：BART是一種完全在文件系統(tǒng)層運(yùn)行的文件跟蹤工具。使用BART，可以迅速、輕松、可靠地收集有關(guān)安裝在已部署的系統(tǒng)上的軟件棧組件的信息。使用BART，可以通過簡化耗時(shí)的管理任務(wù)來顯著降低管理系統(tǒng)網(wǎng)絡(luò)的成本。使用BART，可以根據(jù)已知的基準(zhǔn)確定系統(tǒng)上所進(jìn)行的文件層更改�？梢允褂肂ART根據(jù)完全安裝并配置的系統(tǒng)創(chuàng)建基準(zhǔn)或控制清單。然后可將此基準(zhǔn)與系統(tǒng)快照進(jìn)行比較，將生成一個(gè)列出從系統(tǒng)安裝以來所進(jìn)行的文件層更改的報(bào)告。bart命令是標(biāo)準(zhǔn)UNIX命令。您可以將bart命令的輸出重定向到文件以便進(jìn)行后續(xù)處理。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]