test

Solaris のシステム管理 (セキュリティサービス)

Procedure監査対象者と監査対象イベントの計画方法

始める前に

非大域ゾーンを実装している場合は、この手順を行う前に 「ゾーン内の監査の計画方法」の手順を完了してください。

  1. 単一システムイメージの監査トレールが必要かどうかを決定します。

    システムが単一の管理ドメイン内にある場合、単一システムイメージの監査トレールを作成できます。各システムが異なるネームサービスを使用している場合は、次の手順から始めます。すべてのシステムごとに計画の手順を完了する必要があります。

    単一システムイメージ監査トレールは監査対象のシステムを 1 つのマシンとして扱います。サイト用の単一システムイメージ監査トレールを作成するには、インストール内のすべてのシステムを次のように構成する必要があります。

    • 同一のネームサービスを使用する。

      監査レコードを解釈するには、auditreducepraudit の 2 つのコマンドを使用します。監査レコードを正しく解釈するためには、passwdhosts、および audit_user ファイルの整合性がとれている必要があります。

    • すべてのシステムに対して、同じ audit_warnaudit_eventaudit_class、および audit_startup ファイルを使用します。

    • 同一の audit_user データベースを使用します。このデータベースは、NIS や LDAP などのネームサービス内に存在していてもかまいません。

    • audit_control ファイル内の flagsnaflags、および plugin エントリを同じにします。

  2. 監査ポリシーを決定します。

    auditconfig -lspolicy コマンドを使用して、使用可能なポリシーオプションを表示します。デフォルトでは、cnt ポリシーだけが使用可能になっています。詳細は、手順 8 を参照してください。

    ポリシーオプションの働きについては、「監査ポリシーの決定」を参照してください。監査ポリシーを設定するには、「監査ポリシーを構成する方法」を参照してください。

  3. イベントからクラスへのマッピングを変更するかを決定します。

    多くの場合、デフォルトのマッピングをそのまま使用できます。ただし、新しいクラスの追加、クラス定義の変更、あるいは、特定のシステムコールのレコードが役に立たないという判断をした場合は、イベントを別のクラスに移動する必要がある場合もあります。

    例は、「監査イベントの所属先クラスの変更方法」を参照してください。

  4. 事前選択する監査クラスを決定します。

    監査クラスの追加やデフォルトクラスの変更は、監査サービスを開始する前に行うことを推奨します。

    audit_control ファイル内の flagsnaflags、および plugin エントリの監査クラス値は、すべてのユーザーとプロセスに適用されます。事前選択されたクラスによって、監査クラスが監査されるのは成功の場合か、失敗の場合か、またはその両方の場合かが決定されます。

    監査クラスを事前選択するには、audit_control ファイルの変更方法」を参照してください。

  5. システム全体の事前選択された監査クラスのユーザー例外を決定します。

    一部のユーザーの監査をシステム全体の事前選択された監査クラスと異なる設定にするときは、audit_user データベース内の各ユーザーのエントリを変更します。

    例は、「ユーザーの監査特性の変更方法」を参照してください。

  6. 最小空きディスク容量を決定します。

    監査ファイルシステム上のディスク容量が minfree の割合を下回ると、auditd デーモンは次に利用できる監査ディレクトリに切り替えます。デーモンは、弱い制限値を超えたことを示す警告を送信します。

    最小空きディスク容量を設定するには、例 30–4 を参照してください。

  7. audit_warn 電子メールのエイリアスの管理方法を決定します。

    audit_warn スクリプトは、監査システムが管理上の注意を要求する状況を通知する必要があるときに実行されます。デフォルトでは、audit_warn スクリプトは、audit_warn のエイリアスに電子メールを送信し、コンソールにメッセージを送信します。

    エイリアスを設定するには、audit_warn 電子メールエイリアスの構成方法」を参照してください。

  8. すべての監査ディレクトリがいっぱいになったときの動作を決定します。

    デフォルトでは、監査トレールのオーバーフローが発生しても、システムは引き続き動作します。システムは破棄された監査レコードを数えますが、イベントを記録しません。セキュリティーをより向上させるためには、cnt ポリシーを無効にして、ahlt ポリシーを有効にします。ahlt ポリシーは、非同期イベントが監査キューに配置できない場合、システムを停止します。

    これらのポリシーオプションについては、「非同期イベントおよび同期イベントの監査ポリシー」を参照してください。これらのポリシーオプションを設定するには、例 30–16 を参照してください。

  9. 監査レコードを、バイナリ形式、syslog 形式、または両方の形式のいずれで収集するかを決定します。

    概要は、「監査ログ」を参照してください。

    例は、syslog 監査ログの構成方法」を参照してください。