1 、BART功能簡介
BART 與現有審計工具的主要區別在於 BART 在跟蹤信息和報告信息方面都非常靈活。BART 的其他優點和用法包括:
" 提供了一種為運行 Solaris 軟體的系統在文件層編製目錄的有效而簡便的方法。
" 使用 BART,可以定義要監視的文件,還可以在必要時修改配置文件。藉助這種靈活性,可以監視本地的自定義項,並可輕鬆、有效地重新配置軟體。
" 確保系統運行可靠的軟體。
" 允許監視一段時間內系統在文件層的變化,從而幫助找到損壞或異常的文件。
" 幫助對系統性能問題進行疑難解答。
2 、BRAT的組成
基本審計和報告工具(BART)由兩個主要部分和一個可選部分組成。
(1)BART清單(Manifest)。
可以使用 bart create 命令在特定時間拍攝系統的文件層快照。輸出是名為清單的關於文件和文件屬性的目錄。此清單列出了有關係統上所有文件或特定文件的信息。它包含了有關文件屬性的信息,其中可以包括一些唯一標識的信息,如 MD5 校驗和。清單可以進行存儲,並可以在客戶機和伺服器系統間傳送。說明:BART 不會跨越文件系統邊界,但同一類型的文件系統除外。此約束使 bart create 命令的輸出更容易預測。例如,在不帶參數的情況下,bart create 命令編製根 (/) 目錄下所有 UFS 文件系統的目錄。
(2)BART報告和輸出
BART報告有三個輸出:兩個文件列表的比較和一個可能出現的差異標記。你能用bart compare命令比較兩個文件列表:控制文件列表和測試文件列表。這些文件列表必須是具有相同的文件系統、選項和創建時使用的規則文件。bart compare命令報告兩個文件列表的每一行的差異。這個差異就是指文件列表內表示的文件屬性的任何差異。兩個文件列表中條目的增加和刪除也視為差異。在預設模式下,bart compare 命令會檢查系統上安裝的除已修改的目錄時間標記 (dirmtime) 外所有文件,如以下示例所示:
CHECK all
IGNORE dirmtime
如果提供了 rules 文件,則全局指令 CHECK all 和 IGNORE dirmtime 會按照以上順序自動前置到 rules 文件之前。
BART 輸出,將返回以下退出值:
0 :成功
1 :處理文件時出現非致命錯誤,如許可權問題
>1 :出現致命錯誤,如無效的命令行選項
(3)BART規則文件。
規則文件是用來管理bart命令的文件,是可選的。它使用或排除一些規則。規則文件用來創建定製文件列表和報告。規則文件使你能使用簡單的語法設置文件的類別,以及哪些屬性需要監控。當你比較文件列表時,規則文件幫助識別差異。使用規則文件是得到系統專門信息的有效方法。通過規則文件,可以執行以下任務:
" 使用 bart create 命令創建列出有關係統上所有文件或特定文件的信息的清單。
" 使用 bart compare 命令生成監視文件系統的特定屬性的報告。
3.BART使用方法
規則用戶、超級用戶或具有重要管理許可權的用戶可以使用bart命令。如果你是運行bart的規則用戶,你只能監控有許可權訪問的文件和目錄,比如主目錄信息。超級用戶使用bart命令的優勢是可以監控隱藏目錄和私人目錄的信息。如果要監控嚴格限制的目錄,比如/etc/shadow和/etc/passwd目錄,就需要是超級用戶或具有相當角色的用戶。Bart是Unix 命令行工具,所以首先必須了解相關參數:
bart create [-n] [-R 根目錄] [-r 規則|-]
bart create [-n] [-R 根目錄] [-I | -I 文件列表]
bart compare [-r 規則|-] [-i 關鍵字] [-p]控制清單文件 測試清單文件
(1)使用BRAT創建文件列表。
應用實例:創建目錄etc/nfs下所有文件信息的文件列表。
# bart create -R /etc/nfs ,如圖 1 。
圖 1創建目錄/etc/nfs下所有文件信息的文件列表
說明:-R 選項表示指定清單的根目錄。所有由規則指定的路徑都會被解釋為此目錄的相對路徑。所有由清單報告的路徑均為此目錄的相對路徑。
應用實例:創建包含文件/etc/passwd和/etc/shadow的信息的文件列表。
# bart create -I /etc/passwd /etc/shadow ,如圖 2 。
圖2創建包含文件/etc/passwd和/etc/shadow的信息的文件列表
說明:-l選項表示:無論是從命令行執行此選項,還是從標準輸入中讀取此選項,它都會接受要列出的單個文件的列表。
圖2 上面已經顯示了這兩個文件的詳細信息,我們可以對比一下ls -al命令的輸出,體會一下它們之間的不同:
# ls -al /etc/passwd
-r--r--r-- 1 root sys 542 Dec 4 17:42 /etc/passwd
# ls -al /etc/shadow
-r-------- 1 root sys 294 Oct 15 16:09 /etc/shadow
顯然,文件列表的內容要比ls -al詳細得多。
(2)如何比較文件列表。
如果我們在不同的時間對系統中某個目錄分別建立了兩個文件列表,就可以通過比較這兩文件列表的不同而找到這個目錄的輕微改動,這也將為系統安全帶來新的保障。
應用實例:比較不同時間的/etc目錄的變化。
首先,建立/etc的文件列表:
bart create -R /etc > system1.control.081101
在另一個時間建立/etc目錄的新的文件列表:
bart create -R /etc > system1. control.081112
最後,比較兩個文件列表的內容:
# bart compare system1.control. 081101 system1. control. 081112 如圖 3 。
圖 3比較不同時間的/etc目錄的變化
(3)比較不同系統的清單與控制系統的清單
您可以運行系統間比較,這樣可以迅速確定在基準系統和其他系統之間是否存在任何文件層差異。例如,如果您已經在基準系統上安裝了特定版本的 Solaris 軟體,並且需要了解其他系統是否也安裝了相同的軟體包,則可以創建那些系統的清單,然後將測試清單與控制清單進行比較。此類比較會列出與控制系統比較的每個測試系統在文件內容方面的任何差異。
下面這個例子介紹了如何通過比較控制清單與不同系統的測試清單來監視 /usr/bin 目錄內容的更改。
" 創建控制清單。
# bart create -R /usr/bin > control-manifest.121203
" 為需要與控制系統進行比較的系統創建測試清單。
# bart create -R /usr/bin > system2-manifest.121503
" 需要比較清單時,將清單複製到同一位置。
# cp control-manifest /net/system2.central/bart/manifests
" 將控制清單與測試清單進行比較。
# bart compare control-manifest system2.test > system2.report
/su:
gid control:3 test:1
/ypcat:
mtime control:3fd72511 test:3fd9eb23
上面的輸出指示了 /usr/bin 目錄中 su 文件的組 ID 與控制系統中的組 ID 不同。此信息有助於確定測試系統上是否安裝了不同版本的軟體或是否有人篡改了文件。
總結:BART 是一種完全在文件系統層運行的文件跟蹤工具。使用 BART,可以迅速、輕鬆、可靠地收集有關安裝在已部署的系統上的軟體棧組件的信息。使用 BART,可以通過簡化耗時的管理任務來顯著降低管理系統網路的成本。使用 BART,可以根據已知的基準確定系統上所進行的文件層更改。可以使用 BART 根據完全安裝並配置的系統創建基準或控制清單。然後可將此基準與系統快照進行比較,將生成一個列出從系統安裝以來所進行的文件層更改的報告。bart 命令是標準 UNIX 命令。您可以將 bart 命令的輸出重定向到文件以便進行後續處理。
(責任編輯:A6)
[火星人 ] Solaris基本審計和報告工具使用攻略已經有372次圍觀