home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / unix / aix / 9088 < prev    next >
Encoding:
Internet Message Format  |  1992-08-25  |  3.0 KB
  1. Path: sparky!uunet!europa.asd.contel.com!darwin.sura.net!wupost!cs.utexas.edu!ut-emx!ibmchs!auschs!portal.austin.ibm.com!awdprime.austin.ibm.com!levell.austin.ibm.com!julie
  2. From: julie@levell.austin.ibm.com (Julie L. Craft)
  3. Newsgroups: comp.unix.aix
  4. Subject: Re: audit function with AIX
  5. Message-ID: <1992Aug25.223530.11576@awdprime.austin.ibm.com>
  6. Date: 25 Aug 92 22:35:30 GMT
  7. References: <9208241829.AA27176@lune.ccvr.fr>
  8. Sender: news@awdprime.austin.ibm.com (USENET News)
  9. Organization: IBM, Austin
  10. Lines: 58
  11.  
  12. In article <9208241829.AA27176@lune.ccvr.fr> scos742@lune.ccvr.fr (lune MARTINEZ       Philippe    ) writes:
  13. >
  14. >  I'm trying to set up auditing process. I have read the RED BOOK ELEMENTS OF
  15. >AIX SECURITY. Now, where can I find documentation on what parameters are available
  16. >and what they mean for the AIX auditing system event parameters. 
  17. >
  18. >  For example :
  19. >         FILE_Mode = printf "mode: %d"
  20. >
  21. >  This events is specified in the /etc/security/audit/events file for the
  22. >'chmod' command. When I look at the output from the 'auditpr' command, it reports
  23. >a number, but I don't know what that number represents (with a minimum of mind,
  24. >we can find the new acces mode !). But where can I find this information ? Are
  25. >there other parameters which can be specified for the 'chmod' event such as the
  26. >name of the file, the old permissions, the user which is doing the 'chmod', etc ?
  27.  
  28.     This is fixed with ix25928 (which is inside U406391 (The big one!!))
  29.  
  30.     You'll also need to add
  31.  
  32.          FILE_Mode = printf "mode: %d filename: %s"
  33.  
  34.     to your events file to get the filename to come out after you update.
  35.  
  36. >
  37. >  How can I get information on other event names for commands and events not listed
  38. >in the /etc/security/audit/events file ? It's certainly not difficult, for IBM,  to
  39. >establish this list because  the 'audit' command know all of these events. To check, 
  40. >try to add to the events file your own event !
  41. >
  42.  
  43.     We're only going to audit what is already in the code.  The auditing code
  44.     has to be inside the command in order for the auditing subsystem to pick 
  45.     it up.  If you want to make your own events for your own program, then you
  46.     would have to put the code in your programs to call auditpr(), etc....
  47.  
  48. >  In term of security, the main thing is to know what we are doing. It's difficult
  49. >to learn this rule to users, when system's administrators don't do it ....
  50.  
  51.     It's hard to say what is the best thing to do in auditing.  Getting too
  52.     much information is sometimes worse than not getting enough, because you
  53.     can go into "info overload" and not pay attention to what you get. 
  54.  
  55. >
  56. >  If anybody have any experience with the auditing system, I should be glad to
  57. >have some feed-back.
  58.  
  59.     I only fix the stuff, I don't say that I like it :-)  But, I think
  60.     it will help on specific events.
  61.  
  62.     Later,
  63.     Julie
  64.  
  65. -- 
  66. *=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
  67. Julie Levell Craft IBM AUSTIN,TX  Internet: julie@aixwiz.austin.ibm.com
  68. IBMNET: JULIEL at AUSVM6 2F-007/903  (512) 838-2677 (Tie 678-2677)
  69. "I'm not getting defensive!"
  70.