Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Gestion de l'audit (liste des tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Procédure d'affichage des paramètres par défaut du service d'audit
Procédure de présélection des classes d'audit
Procédure de configuration des caractéristiques d'audit d'un utilisateur
Procédure de modification de la stratégie d'audit
Procédure de modification des contrôles de file d'attente d'audit
Procédure de configuration de l'alias de messagerie audit_warn
Procédure d'ajout d'une classe d'audit
Procédure de modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Procédure de création de systèmes de fichiers ZFS pour les fichiers d'audit
Procédure d'affectation de l'espace d'audit pour la piste d'audit
Procédure d'envoi des fichiers d'audit à un référentiel distant
Configuration du service d'audit dans les zones (tâches)
Procédure de configuration identique de toutes les zones pour l'audit
Procédure de configuration de l'audit par zone
Activation et désactivation du service d'audit (tâches)
Procédure d'actualisation du service d'audit
Procédure de désactivation du service d'audit
Procédure d'activation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Procédure d'affichage des définitions d'enregistrement d'audit
Procédure de fusion des fichiers d'audit de la piste d'audit
Procédure de sélection des événements d'audit de la piste d'audit
Procédure d'affichage du contenu des fichiers d'audit binaires
Procédure de nettoyage d'un fichier d'audit not_terminated
Procédure de contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Procédure de vérification de l'exécution de l'audit
Procédure d'atténuation du volume des enregistrements d'audit produits
Procédure d'audit de toutes les commandes par les utilisateurs
Procédure de mise à jour du masque de présélection des utilisateurs connectés
Procédure de suppression de l'audit d'événements spécifiques
Procédure de limitation de la taille des fichiers d'audit binaires
Procédure de compression des fichiers d'audit sur un système de fichiers dédié
Procédure d'audit des connexions à partir d'autres systèmes d'exploitation
Deux plug-ins d'audit, audit_binfile et audit_syslog , envoient des journaux d'audit à des emplacements que vous pouvez configurer. Les tâches suivantes vous aident à configurer ces journaux.
La liste des tâches suivante indique les procédures de configuration des journaux d'audit pour les différents plug-ins. Toutes les tâches sont facultatives.
|
La procédure suivante décrit la création d'un pool ZFS pour les fichiers d'audit, ainsi que les systèmes de fichiers et points de montage correspondants. Par défaut, le système de fichiers /var/audit contient les fichiers d'audit pour le plug-in audit_binfile.
Avant de commencer
Les profils de droits ZFS System Management (gestion de système ZFS) et ZFS Storage Management (gestion de stockage ZFS) doivent vous être attribués. Le dernier profil vous permet de créer des pools de stockage.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Attribuez au moins 200 Mo d'espace disque par hôte. Toutefois, le type d'audit dont vous avez besoin dicte l'espace disque requis. Par conséquent, elles peuvent être beaucoup plus élevées que cette figure.
Remarque - La présélection de classe par défaut crée des fichiers dans /var/audit qui augmentent d'environ 80 octets pour chaque instance enregistrée d'un événement dans la classe lo, notamment l'endossement de rôle, la connexion ou la déconnexion.
La commande zpool create crée un pool de stockage, conteneur pour les systèmes de fichiers ZFS. Pour plus d'informations, reportez-vous au Chapitre 1, Système de fichiers Oracle Solaris ZFS (introduction) du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
# zpool create audit-pool mirror disk1 disk2
Par exemple, créez le pool auditp à partir de deux disques, c3t1d0 et c3t2d0, et mettez-les en miroir.
# zpool create auditp mirror c3t1d0 c3t2d0
Vous créez le système de fichiers et le point de montage à l'aide d'une seule commande. Au moment de la création, le système de fichiers est monté. Par exemple, l'illustration suivante indique le stockage de la piste d'audit, trié par nom d'hôte.
Remarque - Si vous envisagez de chiffrer le système de fichiers, vous devez le faire lors de sa création. Pour voir un exemple, reportez-vous à l'Exemple 28-12.
Le chiffrement doit se gérer. Par exemple, une phrase de passe est nécessaire au moment du montage. Pour plus d'informations, reportez-vous à la section Chiffrement des systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
Par exemple, créez le point de montage /audit pour le système de fichiers auditf.
# zfs create -o mountpoint=/audit auditp/auditf
# zfs create -p auditp/auditf/system
Par exemple, créez un système de fichiers ZFS non chiffré pour le système sys1.
# zfs create -p auditp/auditf/sys1
Une des raisons de créer des systèmes de fichiers supplémentaires est d'empêcher un débordement d'audit. Vous pouvez définir un quota ZFS par système de fichiers, comme illustré à l'Étape 9. L'alias électronique audit_warn vous avertit lorsque chaque quota est atteint. Pour libérer de l'espace, vous pouvez déplacer les fichiers d'audit fermés vers un serveur distant.
# zfs create -p auditp/auditf/sys1.1 # zfs create -p auditp/auditf/sys1.2
Les propriétés ZFS suivantes sont définies sur off pour tous les systèmes de fichiers du pool :
# zfs set devices=off auditp/auditf # zfs set exec=off auditp/auditf # zfs set setuid=off auditp/auditf
En règle générale, la compression est définie dans ZFS au niveau du système de fichiers. Toutefois, dans la mesure où tous les systèmes de fichiers présents dans ce pool contiennent les fichiers d'audit, la compression est définie au niveau du jeu de données supérieur du pool.
# zfs set compression=on auditp
Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
Vous pouvez définir des quotas sur le système de fichiers parent, les systèmes de fichiers descendants, ou les deux. Si vous définissez un quota sur le système de fichiers d'audit parent, les quotas sur les systèmes de fichiers descendants imposent une limite supplémentaire.
Dans l'exemple ci-dessous, lorsque les deux disques dans le pool auditp atteignent le quota, le script audit_warn notifie l'administrateur de l'audit.
# zfs set quota=510G auditp/auditf
Dans l'exemple ci-dessous, lorsque le quota pour le système de fichiers auditp/auditf/system est atteint, le script audit_warn notifie l'administrateur de l'audit.
# zfs set quota=170G auditp/auditf/sys1 # zfs set quota=170G auditp/auditf/sys1.1 # zfs set quota=165G auditp/auditf/sys1.2
Par défaut, un fichier d'audit peut atteindre la taille du pool. Pour faciliter la gestion, limitez la taille des fichiers d'audit. Reportez-vous à l'Exemple 28-14.
Exemple 28-12 Création d'un système de fichiers chiffré pour les fichiers d'audit
Pour respecter les exigences du site en matière de sécurité, l'administrateur crée le système de fichiers d'audit avec le chiffrement activé. Ensuite, il définit le point de montage.
# zfs create -o encryption=on auditp/auditf Enter passphrase for auditp/auditf': /** Type 8-character minimum passphrase**/ Enter again: /** Confirm passphrase **/ # zfs set -o mountpoint=/audit auditp/auditf
Lorsqu'il crée d'autres systèmes de fichiers sous le système de fichiers auditf, ces systèmes de fichiers descendants sont également chiffrés.
Exemple 28-13 Définition d'un quota sur le répertoire /var/audit
Dans cet exemple, l'administrateur définit un quota sur le système de fichiers d'audit par défaut. Lorsque ce quota est atteint, le script audit_warn avertit l'administrateur de l'audit.
# zfs set quota=252G rpool/var/audit
Dans cette procédure, vous utilisez des attributs pour le plug-in audit_binfile pour affecter plus d'espace sur le disque à la piste d'audit.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Consultez la section OBJECT ATTRIBUTES de la page de manuel audit_binfile(5).
# man audit_binfile ... OBJECT ATTRIBUTES The p_dir attribute specifies where the audit files will be created. The directories are listed in the order in which they are to be used. The p_minfree attribute defines the percentage of free space that the audit system requires before the audit daemon invokes the audit_warn script. The p_fsize attribute defines the maximum size in bytes that an audit file can become before it is automatically closed and a new audit file opened. ...
Le système de fichiers par défaut est /var/audit.
# auditconfig -setplugin audit_binfile active p_dir=/audit/sys1.1,/var/audit
La commande ci-dessus définit le système de fichiers /audit/sys1.1 en tant que répertoire principal pour les fichiers d'audit et le système de fichiers par défaut /var/audit en tant que répertoire secondaire. Dans ce scénario, /var/audit est le répertoire de dernier recours. Pour que cette configuration réussisse, le système de fichiers /audit/sys1.1 doit exister.
Vous avez créé un système de fichiers similaire à la section Procédure de création de systèmes de fichiers ZFS pour les fichiers d'audit.
La commande auditconfig -setplugin définit la valeur configurée. Cette valeur est une propriété du service d'audit, de sorte qu'elle est restaurée lorsque le service est actualisé ou redémarré. La valeur configurée devient active lorsque le service d'audit est actualisé ou redémarré. Pour plus d'informations sur les valeurs configurées et actives, reportez-vous à la page de manuel auditconfig(1M)
# audit -s
Exemple 28-14 Limitation de la taille des fichiers pour le plug-in audit_binfile
Dans l'exemple suivant, la taille d'un fichier d'audit binaire est définie sur une taille spécifique. La taille est exprimée en méga-octets.
# auditconfig -setplugin audit_binfile active p_fsize=4M # auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;
Par défaut, un fichier d'audit peut augmenter sans limite. Pour créer des fichiers d'audit plus petits, l'administrateur spécifie une limite de taille de fichier de 4 Mo. Le service d'audit crée un nouveau fichier lorsque la limite de taille est atteinte. La limite de taille de fichier entre en vigueur une fois le service d'audit actualisé par l'administrateur.
# audit -s
Exemple 28-15 Spécification de plusieurs modifications d'un plug-in d'audit
Dans l'exemple suivant, l'administrateur d'un système doté d'un débit élevé et d'un pool ZFS volumineux modifie la taille de file d'attente, la taille de fichier binaire et l'avertissement de la limite dépassable du plug-in audit_binfile. L'administrateur autorise les fichiers d'audit à augmenter jusqu'à 4 Go, est averti lorsqu'il reste 2 % du pool ZFS et double la taille autorisée de la file d'attente. La taille par défaut de la file d'attente correspond au seuil supérieur de la file d'attente d'audit du noyau, 100, comme dans active audit queue hiwater mark (records) = 100.
# auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1; # auditconfig -setplugin audit_binfile active "p_minfree=2;p_fsize=4G" 200 # auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Queue size: 200
Les spécifications modifiées entrent en vigueur, une fois le service d'audit actualisé par l'administrateur.
# audit -s
Exemple 28-16 Suppression de la taille de la file d'attente d'un plug-in d'audit
Dans l'exemple suivant, la taille de la file d'attente pour le plug-in audit_binfile est supprimée.
# auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Queue size: 200 # auditconfig -setplugin audit_binfile active "" "" # auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Les derniers guillemets vides ("") définissent la taille de la file d'attente pour le plug-in sur la valeur par défaut.
Le changement de la spécification qsize pour le plug-in entre en vigueur une fois que l'administrateur a actualisé le service d'audit.
# audit -s
Exemple 28-17 Définition d'une limite dépassable pour les avertissements
Dans cet exemple, l'espace libre minimum pour tous les systèmes de fichiers d'audit est défini pour qu'un avertissement soit émis lorsque 2 % du système de fichiers restent disponibles.
# auditconfig -setplugin audit_binfile active p_minfree=2
Le pourcentage par défaut est un (1). Pour un pool ZFS volumineux, choisissez un pourcentage raisonnablement faible. Par exemple, 10 % d'un pool de 16 To correspond environ à 16 Go ; l'administrateur de l'audit est averti lorsqu'il reste une grande quantité d'espace sur le disque. La valeur 2 envoie le message audit_warn lorsqu'il reste environ 2 Go d'espace sur le disque.
L'alias électronique audit_warn reçoit l'avertissement. Pour configurer l'alias, reportez-vous à la section Procédure de configuration de l'alias de messagerie audit_warn .
Pour un pool de grande taille, l'administrateur limite également la taille du fichier à 3 Go.
# auditconfig -setplugin audit_binfile active p_fsize=3G
Les spécifications p_minfree et p_fsize pour le plug-in entrent en vigueur lorsque l'administrateur actualise le service d'audit.
# audit -s
Dans cette procédure, vous utilisez des attributs du plug-in audit_remote pour envoyer la piste d'audit à un référentiel d'audit distant.
Avant de commencer
Vous devez disposer d'un récepteur des fichiers d'audit au niveau du référentiel distant. Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Consultez la section OBJECT ATTRIBUTES de la page de manuel audit_remote(5).
# man audit_remote ... OBJECT ATTRIBUTES The p_hosts attribute specifies the remote servers. You can also specify the port number and the GSS-API mechanism. The p_retries attribute specifies the number of retries for connecting and sending data. The default is 3. The p_timeout attribute specifies the number of seconds in which a connection times out.
Le port par défaut est le port affecté par l'IANAsolaris_audit, 16162/tcp. Le mécanisme par défaut est kerberos_v5. Le délai d'attente par défaut est 5 secondes. Vous pouvez également spécifier une taille de file d'attente pour le plug-in.
# auditconfig -setplugin audit_remote active p_hosts=rhost1:16088:kerberos_v5
# auditconfig -setplugin audit_remote active p_retries=5
# auditconfig -setplugin audit_remote active p_timeout=3
Le service d'audit lit la modification du plug-in d'audit lors de l'actualisation.
# audit -s
Vous pouvez demander au service d'audit de copier tout ou partie des enregistrements d'audit collectés dans la file d'attente de l'audit pour l'utilitaire syslog. Si vous enregistrez les résumés de type texte et de type données d'audit binaires, les données binaires fournissent un enregistrement d'audit complet, tandis que les résumés filtrent les données pour examen en temps réel.
Avant de commencer
Pour configurer le plug-in audit_syslog, vous devez affecter le profil de droit Audit Configuration (configuration d'audit). Pour configurer l'utilitaire syslog , vous devez disposer du rôle root.
Remarque - Les classes d'audit p_flags doivent être présélectionnées en tant que valeurs par défaut du système ou dans les indicateurs d'audit d'un utilisateur ou d'un profil de droits. Les enregistrements ne sont pas collectés pour une classe qui n'est pas présélectionnée.
# auditconfig -setplugin audit_syslog active p_flags=lo,+as,-ss
L'entrée inclut l'emplacement du fichier journal.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system/system-log
Le service d'audit lit les modifications apportées au plug-in d'audit lors de l'actualisation.
# audit -s
Le service d'audit peut générer une sortie volumineuse. Pour gérer les journaux, reportez-vous à la page de manuel logadm(1M).
Exemple 28-18 Spécification des classes d'audit pour la sortie syslog
Dans l'exemple suivant, l'utilitaire syslog collecte un sous-ensemble de classes d'audit présélectionnées. La classe pf est créée dans l'Exemple 28-10.
# auditconfig -setnaflags lo,na # auditconfig -setflags lo,ss # usermod -K audit_flags=pf:no jdoe # auditconfig -setplugin audit_syslog active p_flags=lo,+na,-ss,+pf
Les arguments de la commande auditconfig demandent au système de recueillir tous les enregistrements d'audit de connexion/déconnexion, non attribuables et de modification de l'état du système. L'entrée de plug-in audit_syslog. demande à l'utilitaire syslog de recueillir toutes les connexions, les événements non attribuables ayant réussi et les modifications de l'état du système ayant échoué.
Pour l'utilisateur jdoe, l'enregistrement d'audit binaire inclut toutes les utilisations d'un appel à la commande pfexec. Pour que ces événements soient disponibles pour la postsélection, le plug-in audit_binfile ou audit_remote doit être actif. L'utilitaire syslog collecte les appels réussis à la commande pfexec.
Exemple 28-19 Stockage des enregistrements d'audit syslog sur un système distant
Vous pouvez changer l'entrée audit.notice du fichier syslog.conf afin qu'elle pointe vers un système distant. Dans cet exemple, le nom du système local est sys1.1. Le système distant est remote1.
sys1.1 # cat /etc/syslog.conf … audit.notice @remote1
L'entrée audit.notice du fichier syslog.conf sur le système remote1 pointe vers le fichier journal.
remote1 # cat /etc/syslog.conf … audit.notice /var/adm/auditlog