ゾーンでの監査サービスの構成 (手順)
監査サービスは、ゾーン内での監査イベントも含め、システム全体を監査します。非大域ゾーンがインストールされたシステムでは、すべてのゾーンを同様に監査することも、ゾーンごとに監査を制御することもできます。背景情報については、「ゾーンを含むシステムでの監査」を参照してください。計画を立てるには、「ゾーン内の監査の計画方法」を参照してください。
すべてのゾーンの監査を同様に構成する方法
この手順に従えば、すべてのゾーンを同様に監査できます。この方法を使えば、必要とされるコンピュータオーバーヘッドと管理リソースが最小になります。
-
大域ゾーンの監査を構成します。
-
「監査ファイルの構成 (作業マップ)」の作業を行います。
-
「監査サービスの構成と有効化 (作業マップ)」の作業を行います。ただし、次の点は例外になります。
-
perzone 監査ポリシーを有効にしないでください。
-
監査サービスを有効にしないでください。監査サービスの有効化は、非大域ゾーンの監査の構成が完了したあとで行います。
-
-
-
大域ゾーンからすべての非大域ゾーンに、監査構成ファイルをコピーします。
編集した次のファイルをすべてコピーします。 audit_class、audit_control、audit_event、audit_user。audit_startup と audit_warn はコピーしないでください。編集していないファイルをコピーする必要はありません。
2 つの選択肢があります。スーパーユーザーとして、ファイルをコピーすることも、ファイルをループバックマウントすることもできます。非大域ゾーンが動作している必要があります。
-
ファイルをコピーします。
-
構成ファイルをループバックマウントします。
-
大域ゾーンから、非大域ゾーンを停止します。
# zoneadm -z non-global-zone halt
-
大域ゾーンで変更した監査構成ファイルごとに読み取り専用のループバックマウントを 1 つずつ作成します。
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] end exit -
変更を有効にするには、非大域ゾーンをブートします。
# zoneadm -z non-global-zone boot
システムをリブートしても構いません。
その後、ある監査構成ファイルを大域ゾーンで変更した場合には、非大域ゾーンにループバックマウントされたファイルを更新するためにシステムをリブートします。
-
-
例 30–24 監査構成ファイルをループバックマウントする
この例では、システム管理者が audit_class、audit_event、audit_control、audit_user、audit_startup、および audit_warn ファイルを変更しました。
audit_startup および audit_warn ファイルは、大域ゾーンでしか読み取られないため、非大域ゾーンでループバックマウントする必要はありません。
このシステム machine1 上で、管理者は 2 つの非大域ゾーン machine1–webserver と machine1–appserver を作成しました。管理者が監査構成ファイルのカスタマイズを完了しました。管理者があとでファイルを変更した場合は、変更を有効にするためにシステムがリブートされます。
# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver
add fs
set special=/etc/security/audit_class
set dir=/etc/security/audit_class
set type=lofs
add options [ro,nodevices,nosetuid]
end
add fs
set special=/etc/security/audit_event
set dir=/etc/security/audit_event
set type=lofs
add options [ro,nodevices,nosetuid]
end
add fs
set special=/etc/security/audit_control
set dir=/etc/security/audit_control
set type=lofs
add options [ro,nodevices,nosetuid]
end
add fs
set special=/etc/security/audit_user
set dir=/etc/security/audit_user
set type=lofs
add options [ro,nodevices,nosetuid]
end
exit
# zonecfg -z machine1-appserver
add fs
set special=/etc/security/audit_class
set dir=/etc/security/audit_class
set type=lofs
add options [ro,nodevices,nosetuid]
end
...
exit
|
ゾーンがリブートされると、監査構成ファイルはゾーン内で読み取り専用になります。
ゾーンごとの監査を構成する方法
この手順に従えば、個々のゾーン管理者が自身のゾーン内で監査サービスを制御できます。ポリシーオプションの完全な一覧については、auditconfig(1M) のマニュアルページを参照してください。
-
大域ゾーンで監査を構成します。ただし、監査サービスは有効にしないでください。
-
「監査ファイルの構成 (作業マップ)」の作業を行います。
-
「監査サービスの構成と有効化 (作業マップ)」の作業を行います。ただし、次の点は例外になります。
-
perzone 監査ポリシーを追加してください。例については、例 30–18 を参照してください。
-
監査サービスを有効にしないでください。監査サービスの有効化は、非大域ゾーンの監査の構成が完了したあとで行います。
-
-
-
各非大域ゾーンで監査ファイルを構成します。
注 –監査を無効にする予定の非大域ゾーンでは、この手順をスキップできます。監査を無効にするには、例 30–25 を参照してください。
-
「監査ファイルの構成 (作業マップ)」の作業を行います。
-
「監査サービスの構成と有効化 (作業マップ)」で説明した手順に従います。
-
システム全体の監査設定は構成しないでください。
具体的には、非大域ゾーンの audit_startup ファイルに perzone や ahlt ポリシーを追加しないでください。また、非大域ゾーンから bsmconv コマンドを実行しないでください。
-
使用するゾーンで監査を有効にします。
監査の構成後に大域ゾーンをリブートすると、使用するゾーンの監査が自動的に有効になります。
システムのリブート後に大域ゾーン管理者が perzone 監査ポリシーを有効にした場合、個々のゾーン管理者が監査の有効化を行う必要があります。詳細は、例 30–20 を参照してください。
-
-
大域ゾーンで監査サービスを有効にします。
手順については、「監査サービスを有効にする方法」を参照してください。
例 30–25 非大域ゾーンで監査を無効にする
この例は、大域ゾーンで perzone 監査ポリシーが設定されている場合に正しく機能します。noaudit ゾーンのゾーン管理者が、そのゾーンの監査を無効にします。この管理者は、監査を無効にするつもりであったため、監査構成ファイルを編集していませんでした。
noauditzone # svcadm disable svc:/system/auditd |
- © 2010, Oracle Corporation and/or its affiliates