Руководство по системному администрированию: контейнеры в Solaris - управление ресурсами и зонами

Использование аудита в зонах Solaris

Описание аудита Solaris приведены в разделе Глава 28, Solaris Auditing (Overview), в System Administration Guide: Security Services. Информацию по особенностям аудита, связанным с зонами, приведены в следующих разделах:

Запись аудита описывает событие, такое как вход в систему или запись в файл. Запись состоит из маркеров, представляющих собой наборы данных аудита. Маркер zonename позволяет настроить для аудита Solaris идентификацию событий аудита по зонам. Маркер zonename позволяет получать следующую информацию:

Настройка аудита в глобальной зоне

Настройка журналов аудита Solaris выполняется в глобальной зоне. Политика аудита настраивается в глобальной зоне и применяется в отношении процессов во всех зонах. Записи аудита могут маркироваться именем зоны, в которой произошло событие. Для включения имен зон в записи аудита перед установкой неглобальных зон следует отредактировать файл /etc/security/audit_startup . При выборе имен зон учитывается регистр.

Если в данные аудита глобальной зоны должны включаться записи аудита из всех зон, в файл /etc/security/audit_startup необходимо добавить следующую строку:


/usr/sbin/auditconfig -setpolicy +zonename

Запустите утилиту auditconfig в глобальной зоне от имени глобального администратора:


global# auditconfig -setpolicy +zonename

Для получения дополнительной информации см. справочные страницы audit_startup(1M) и auditconfig(1M) и "Configuring Audit Files (Task Map)" в руководстве Руководство по системному администрированию: службы безопасности.

Настройка характеристик аудита пользователей в неглобальной зоне

При установке неглобальной зоны файлы audit_control и audit_user копируются из глобальной зоны в каталог /etc/security создаваемой зоны. Может потребоваться изменение эти файлов для приведения в соответствие с требованиями зоны по аудиту.

Например, для каждой зоны можно настроить разные правила аудита для разных пользователей. Для вступления в силу различных критериев предварительной выборки для отдельных пользователей необходимо отредактировать оба файла: audit_control и audit_user. Для файла audit_user в неглобальной зоне может также потребоваться правка, отражающая пользовательскую базу зоны. Поскольку аудит пользователей в каждой зоне можно настроить по-разному, файл audit_user может быть пустым.

Для получения дополнительной информации см. справочные страницы audit_control(4) и audit_user(4).

Обеспечение записей аудита для отдельной неглобальной зоны

Классификация записей аудита Solaris по зонам достигается путем добавления маркера zonename в соответствии с описанием в разделе Настройка аудита в глобальной зоне. В таком случае становится возможным сбор записей из разных зон командой auditreduce и создание журналов для отдельных зон.

Для получения дополнительной информации см. справочные страницы audit_startup(1M) и auditreduce(1M).