SunSHIELD 基本セキュリティモジュール

監査方針の設定

-setpolicy フラグを指定して auditconfig を使用すると、デフォルトの Solaris BSM 監査方針を変更できます。-lspolicy 引数を指定して auditconfig コマンドを使用すると、変更できる監査方針が表示されます。次のような方針フラグがあります。

arge

execv に関する環境変数を記録します (exec(2) のマニュアルページを参照)。デフォルトではこの情報を記録しません。

argv

execv のコマンド行引数を記録します。デフォルトではこの情報を記録しません。

cnt

待ち行列がいっぱいになっても、監査対象の動作を中断せず、単に削除された監査レコード数をカウントします。デフォルトでは中断します。

group

監査レコードに補助グループトークンを入れます。デフォルトでは、グループトークンは含まれません。

path

監査レコードに二次 path トークンを追加します。一般に、これらの二次パスは、動的にリンクされた共有ライブラリまたはシェルスクリプトのコマンドインタープリタのパス名です。デフォルトでは、二次 path トークンは含まれません。

trail

すべてのレコードに trailer トークンが含まれます。デフォルトでは、trailer トークンは記録されません。

seq

すべての監査レコードにシーケンス番号が含まれます。デフォルトでは、シーケンス番号は含まれません (シーケンス番号を使用すると、クラッシュダンプを分析して監査レコードが失われたかどうかを調べることができます)。

どのイベントがどの監査クラスに属するかを変更する方法

次の手順で、デフォルトのイベントとクラスとのマッピングを変更します。

  1. /etc/security/audit_event ファイルを編集して、目的の各イベントのクラスマッピングを変更します。

  2. システムをリブートするか、または auditconfig -conf を実行して、実行時カーネルイベントとクラスとのマッピングを変更します。