Solaris基本審計和報告工具使用攻略

1、BART功能簡介

BART與現(xiàn)有審計工具的主要區(qū)別在于BART在跟蹤信息和報告信息方面都非常靈活。BART的其他優(yōu)點和用法包括：

"提供了一種為運行Solaris軟件的系統(tǒng)在文件層編制目錄的有效而簡便的方法。

"使用BART，可以定義要監(jiān)視的文件，還可以在必要時修改配置文件。借助這種靈活性，可以監(jiān)視本地的自定義項，并可輕松、有效地重新配置軟件。

"確保系統(tǒng)運行可靠的軟件。

"允許監(jiān)視一段時間內系統(tǒng)在文件層的變化，從而幫助找到損壞或異常的文件。

"幫助對系統(tǒng)性能問題進行疑難解答。

　　2、BRAT的組成

基本審計和報告工具（BART）由兩個主要部分和一個可選部分組成。

（1）BART清單（Manifest）。

可以使用bartcreate命令在特定時間拍攝系統(tǒng)的文件層快照。輸出是名為清單的關于文件和文件屬性的目錄。此清單列出了有關系統(tǒng)上所有文件或特定文件的信息。它包含了有關文件屬性的信息，其中可以包括一些唯一標識的信息，如MD5校驗和。清單可以進行存儲，并可以在客戶機和服務器系統(tǒng)間傳送。說明：BART不會跨越文件系統(tǒng)邊界，但同一類型的文件系統(tǒng)除外。此約束使bartcreate命令的輸出更容易預測。例如，在不帶參數的情況下，bartcreate命令編制根(/)目錄下所有UFS文件系統(tǒng)的目錄。

（2）BART報告和輸出

BART報告有三個輸出：兩個文件列表的比較和一個可能出現(xiàn)的差異標記。你能用bartcompare命令比較兩個文件列表：控制文件列表和測試文件列表。這些文件列表必須是具有相同的文件系統(tǒng)、選項和創(chuàng)建時使用的規(guī)則文件。bartcompare命令報告兩個文件列表的每一行的差異。這個差異就是指文件列表內表示的文件屬性的任何差異。兩個文件列表中條目的增加和刪除也視為差異。在缺省模式下，bartcompare命令會檢查系統(tǒng)上安裝的除已修改的目錄時間標記(dirmtime)外所有文件，如以下示例所示：

CHECKall

IGNOREdirmtime

如果提供了rules文件，則全局指令CHECKall和IGNOREdirmtime會按照以上順序自動前置到rules文件之前。

BART輸出，將返回以下退出值：

0：成功

1：處理文件時出現(xiàn)非致命錯誤，如權限問題

>1：出現(xiàn)致命錯誤，如無效的命令行選項

（3）BART規(guī)則文件。

規(guī)則文件是用來管理bart命令的文件，是可選的。它使用或排除一些規(guī)則。規(guī)則文件用來創(chuàng)建定制文件列表和報告。規(guī)則文件使你能使用簡單的語法設置文件的類別，以及哪些屬性需要監(jiān)控。當你比較文件列表時，規(guī)則文件幫助識別差異。使用規(guī)則文件是得到系統(tǒng)專門信息的有效方法。通過規(guī)則文件，可以執(zhí)行以下任務：

"使用bartcreate命令創(chuàng)建列出有關系統(tǒng)上所有文件或特定文件的信息的清單。

"使用bartcompare命令生成監(jiān)視文件系統(tǒng)的特定屬性的報告。
3．BART使用方法

規(guī)則用戶、超級用戶或具有重要管理權限的用戶可以使用bart命令。如果你是運行bart的規(guī)則用戶，你只能監(jiān)控有權限訪問的文件和目錄，比如主目錄信息。超級用戶使用bart命令的優(yōu)勢是可以監(jiān)控隱藏目錄和私人目錄的信息。如果要監(jiān)控嚴格限制的目錄，比如/etc/shadow和/etc/passwd目錄，就需要是超級用戶或具有相當角色的用戶。Bart是Unix命令行工具，所以首先必須了解相關參數：

bartcreate[-n][-R根目錄][-r規(guī)則|-]

bartcreate[-n][-R根目錄][-I|-I文件列表]

bartcompare[-r規(guī)則|-][-i關鍵字][-p]控制清單文件測試清單文件

（1）使用BRAT創(chuàng)建文件列表。

應用實例：創(chuàng)建目錄etc/nfs下所有文件信息的文件列表。

#bartcreate-R/etc/nfs，如圖1。

圖1創(chuàng)建目錄/etc/nfs下所有文件信息的文件列表

說明：-R選項表示指定清單的根目錄。所有由規(guī)則指定的路徑都會被解釋為此目錄的相對路徑。所有由清單報告的路徑均為此目錄的相對路徑。

應用實例：創(chuàng)建包含文件/etc/passwd和/etc/shadow的信息的文件列表。

#bartcreate-I/etc/passwd/etc/shadow，如圖2。

圖2創(chuàng)建包含文件/etc/passwd和/etc/shadow的信息的文件列表

說明：-l選項表示：無論是從命令行執(zhí)行此選項，還是從標準輸入中讀取此選項，它都會接受要列出的單個文件的列表。

圖2上面已經顯示了這兩個文件的詳細信息，我們可以對比一下ls-al命令的輸出，體會一下它們之間的不同：

#ls-al/etc/passwd

-r--r--r--1rootsys542Dec417:42/etc/passwd

#ls-al/etc/shadow

-r--------1rootsys294Oct1516:09/etc/shadow

顯然，文件列表的內容要比ls-al詳細得多。

（2）如何比較文件列表。

如果我們在不同的時間對系統(tǒng)中某個目錄分別建立了兩個文件列表，就可以通過比較這兩文件列表的不同而找到這個目錄的輕微改動，這也將為系統(tǒng)安全帶來新的保障。

應用實例：比較不同時間的/etc目錄的變化。

首先，建立/etc的文件列表：

bartcreate-R/etc>system1.control.081101

在另一個時間建立/etc目錄的新的文件列表：

bartcreate-R/etc>system1.control.081112

最后，比較兩個文件列表的內容：

#bartcomparesystem1.control.081101system1.control.081112如圖3。

圖3比較不同時間的/etc目錄的變化

　�。�3）比較不同系統(tǒng)的清單與控制系統(tǒng)的清單

您可以運行系統(tǒng)間比較，這樣可以迅速確定在基準系統(tǒng)和其他系統(tǒng)之間是否存在任何文件層差異。例如，如果您已經在基準系統(tǒng)上安裝了特定版本的Solaris軟件，并且需要了解其他系統(tǒng)是否也安裝了相同的軟件包，則可以創(chuàng)建那些系統(tǒng)的清單，然后將測試清單與控制清單進行比較。此類比較會列出與控制系統(tǒng)比較的每個測試系統(tǒng)在文件內容方面的任何差異。

下面這個例子介紹了如何通過比較控制清單與不同系統(tǒng)的測試清單來監(jiān)視/usr/bin目錄內容的更改。

"創(chuàng)建控制清單。

#bartcreate-R/usr/bin>control-manifest.121203

"為需要與控制系統(tǒng)進行比較的系統(tǒng)創(chuàng)建測試清單。

#bartcreate-R/usr/bin>system2-manifest.121503

"需要比較清單時，將清單復制到同一位置。

#cpcontrol-manifest/net/system2.central/bart/manifests

"將控制清單與測試清單進行比較。

#bartcomparecontrol-manifestsystem2.test>system2.report

/su:

gidcontrol:3test:1

/ypcat:

mtimecontrol:3fd72511test:3fd9eb23

上面的輸出指示了/usr/bin目錄中su文件的組ID與控制系統(tǒng)中的組ID不同。此信息有助于確定測試系統(tǒng)上是否安裝了不同版本的軟件或是否有人篡改了文件。

總結：BART是一種完全在文件系統(tǒng)層運行的文件跟蹤工具。使用BART，可以迅速、輕松、可靠地收集有關安裝在已部署的系統(tǒng)上的軟件棧組件的信息。使用BART，可以通過簡化耗時的管理任務來顯著降低管理系統(tǒng)網絡的成本。使用BART，可以根據已知的基準確定系統(tǒng)上所進行的文件層更改�？梢允褂肂ART根據完全安裝并配置的系統(tǒng)創(chuàng)建基準或控制清單。然后可將此基準與系統(tǒng)快照進行比較，將生成一個列出從系統(tǒng)安裝以來所進行的文件層更改的報告。bart命令是標準UNIX命令。您可以將bart命令的輸出重定向到文件以便進行后續(xù)處理。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]