Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Gestion de l'audit (liste des tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Procédure d'affichage des paramètres par défaut du service d'audit
Procédure de présélection des classes d'audit
Procédure de configuration des caractéristiques d'audit d'un utilisateur
Procédure de modification de la stratégie d'audit
Procédure de modification des contrôles de file d'attente d'audit
Procédure de configuration de l'alias de messagerie audit_warn
Procédure d'ajout d'une classe d'audit
Procédure de modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Procédure de création de systèmes de fichiers ZFS pour les fichiers d'audit
Procédure d'affectation de l'espace d'audit pour la piste d'audit
Procédure d'envoi des fichiers d'audit à un référentiel distant
Procédure de configuration des journaux d'audit syslog
Configuration du service d'audit dans les zones (tâches)
Procédure de configuration identique de toutes les zones pour l'audit
Procédure de configuration de l'audit par zone
Activation et désactivation du service d'audit (tâches)
Procédure d'actualisation du service d'audit
Procédure de désactivation du service d'audit
Procédure d'activation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Procédure d'affichage des définitions d'enregistrement d'audit
Procédure de fusion des fichiers d'audit de la piste d'audit
Procédure de sélection des événements d'audit de la piste d'audit
Procédure d'affichage du contenu des fichiers d'audit binaires
Procédure de nettoyage d'un fichier d'audit not_terminated
Procédure de contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Procédure de vérification de l'exécution de l'audit
Procédure d'atténuation du volume des enregistrements d'audit produits
Procédure d'audit de toutes les commandes par les utilisateurs
Procédure de mise à jour du masque de présélection des utilisateurs connectés
Procédure de suppression de l'audit d'événements spécifiques
Procédure de limitation de la taille des fichiers d'audit binaires
Procédure de compression des fichiers d'audit sur un système de fichiers dédié
Procédure d'audit des connexions à partir d'autres systèmes d'exploitation
Avant d'activer l'audit sur votre réseau, vous pouvez modifier les valeurs par défaut afin de répondre aux exigences en matière d'audit de votre site. Il est recommandé de personnaliser la configuration de l'audit autant que possible avant la connexion des premiers utilisateurs.
Si vous avez mis en oeuvre des zones, vous pouvez choisir d'auditer toutes les zones à partir de la zone globale ou les zones non globales une à une. Pour obtenir une présentation générale, reportez-vous à la section Audit et zones Oracle Solaris. Pour la planification, reportez-vous à la section Procédure de planification de l'audit par zone. Pour plus d'informations sur les procédures, reportez-vous à la section Configuration du service d'audit dans les zones (tâches).
La liste des tâches suivante présente les procédures de configuration de l'audit. Toutes les tâches sont facultatives.
|
Les commandes de cette procédure affichent la configuration d'audit en cours. Le résultat de cette procédure est pris d'un système non configuré.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) ou Audit Control (contrôle d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo est l'indicateur pour la classe d'audit login/logout. Le format de sortie du masque est (success, failure).
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
Remarque - Pour afficher les événements qui sont affectés à une classe, et par conséquent, les événements qui sont en cours d'enregistrement, exécutez la commande auditrecord -c class.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
La stratégie active est la stratégie en cours, mais la valeur de la stratégie n'est pas stockée par le service d'audit. La stratégie configurée est enregistrée par le service d'audit, de sorte qu'elle est restaurée lorsque vous redémarrez le service d'audit.
$ auditconfig -getplugin Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
Le plug-in audit_binfile est actif par défaut.
$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Le contrôle de la file d'attente actif est celui qui est actuellement utilisé par le noyau. La chaîne no configured indique que le système utilise les valeurs par défaut.
Recherchez les utilisateurs, puis affichez la valeur d'attribut audit_flags de chaque utilisateur.
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ... # userattr audit_flags adoe # userattr audit_flags jdoe
Par défaut, les utilisateurs sont soumis à un audit pour les paramètres à l'échelle du système uniquement.
La commande userattr est décrite à la page de manuel userattr(1). Le mot-clé audit_flags est décrit à la page de manuel user_attr(4).
Présélectionnez les classes d'audit qui contiennent les événements que vous voulez surveiller. Les événements qui ne sont pas dans des classes présélectionnées ne sont pas enregistrés.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# auditconfig -getflags ...
# auditconfig -getnaflags ,,,
Pour obtenir une explication de la sortie, reportez-vous à la section Procédure d'affichage des paramètres par défaut du service d'audit.
# auditconfig -setflags lo,ps,fw user default audit flags = ps,lo,fw(0x101002,0x101002)
Cette commande effectue des audits des événements dans les classes de connexion/déconnexion, de démarrage/d'arrêt de processus et d'écriture de fichier, portant sur la réussite et l'échec.
Remarque - La commande auditconfig -setflags n'ajoute pas de classes aux paramètres par défaut du système. Cette commande remplace les paramètres par défaut du système, de sorte que vous devez spécifier toutes les classes que vous souhaitez présélectionner.
La classe na contient des montages non attribuables, d'initialisation et de PROM, parmi d'autres événements.
# auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
lo et na sont les seuls arguments utiles de l'option -setnaflags.
Remarque - La commande auditconfig -setnaflags remplace les valeurs par défaut du système, de sorte que vous devez spécifier toutes les classes que vous souhaitez présélectionner.
La présélection de classes par utilisateur plutôt que par système permet parfois de réduire l'impact de l'audit sur les performances du système. En outre, il peut être utile d'auditer des utilisateurs spécifiques de manière légèrement différente du système.
Les présélections de classe d'audit pour chaque utilisateur sont spécifiées par l'attribut de sécurité audit_flags. Ces valeurs spécifiques à l'utilisateur, conjointement aux classes présélectionnées pour le système, déterminent le masque d'audit de l'utilisateur, comme décrit dans la section Caractéristiques de l'audit de processus.
Avant de commencer
Vous devez être dans le rôle root.
# usermod -K audit_flags=fw:no jdoe
Le format du mot-clé audit_flags est always-audit:never-audit.
Répertorie les classes d'audit qui font l'objet d'un audit pour cet utilisateur. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^). Les classes qui sont ajoutées aux classes à l'échelle du système ne sont pas précédées d'un caret.
Répertorie les classes d'audit qui ne font jamais l'objet d'un audit pour l'utilisateur, même si ces événements d'audit sont audités à l'échelle du système. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^).
Pour spécifier plusieurs classes d'audit, séparez les classes par une virgule. Pour plus d'informations, reportez-vous à la page de manuel audit_flags(5).
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
Lorsque vous affectez le profil de droits Audited System Administrator (administrateur de système audité) à un utilisateur ou à un rôle, celui-ci fait l'objet d'un audit pour ces indicateurs, en fonction de l'ordre de recherche décrit à la section Ordre de recherche pour les attributs de sécurité affectés.
Exemple 28-1 Modification des événements à auditer pour un utilisateur
Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Aucun utilisateur, sauf l'administrateur, n'est connecté.
Pour réduire l'impact de l'événement d'audit AUE_PFEXEC sur les ressources système, l'administrateur n'effectue pas d'audit de cet événement au niveau du système. Au lieu de cela, l'administrateur présélectionne la classe pf pour un utilisateur, jdoe. La classe pf est créée dans l'Exemple 28-10.
# usermod -K audit_flags=pf:no jdoe
La commande userattr affiche l'ajout.
# userattr audit_flags jdoe pf:no
Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000000000000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
Exemple 28-2 Modification de l'exception de présélection d'audit pour un utilisateur
Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Aucun utilisateur, sauf l'administrateur, n'est connecté.
L'administrateur décide de ne pas collecter les événements ss qui ont échoué pour l'utilisateur jdoe.
# usermod -K audit_flags=^-ss:no jdoe
La commande userattr affiche l'exception.
# userattr audit_flags jdoe ^-ss:no
Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
Exemple 28-3 Audit des utilisateurs sélectionnés, pas d'audit à l'échelle du système
Dans cet exemple, les activités de connexion et de rôle de quatre utilisateurs sélectionnés sont auditées sur ce système. Aucune classe d'audit n'est présélectionnée pour le système.
Tout d'abord, l'administrateur supprime tous les indicateurs à l'échelle du système.
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
Ensuite, il présélectionne deux classes d'audit pour les quatre utilisateurs. La classe pf est créée dans l'Exemple 28-10.
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
Ensuite, l'administrateur présélectionne la classe pf pour le rôle root.
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
Pour continuer d'enregistrer l'intrusion injustifiée, l'administrateur ne change pas l'audit des connexions non attribuables.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
Exemple 28-4 Suppression des indicateurs d'audit d'un utilisateur
Dans l'exemple suivant, l'administrateur supprime tous les indicateurs d'audit spécifiques à l'utilisateur. Les processus existants d'utilisateurs qui sont actuellement connectés continuent à faire l'objet d'un audit.
L'administrateur exécute la commande usermod avec le mot-clé audit_flags défini sur aucune valeur.
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
Ensuite, l'administrateur vérifie la suppression.
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoe
Exemple 28-5 Création d'un profil de droits pour un groupe d'utilisateurs
L'administrateur souhaite que tous les profils de droits d'administration du site auditent explicitement la classe pf. Pour chaque profil de droits à affecter, l'administrateur crée une version spécifique au site dans LDAP, qui inclut les indicateurs d'audit.
Tout d'abord, l'administrateur clone un profil de droits existant, puis change le nom et ajoute des indicateurs d'audit.
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
Après avoir reproduit cette procédure pour chaque profil de droits à utiliser, l'administrateur répertorie les informations dans le profil Wifi Management (gestion Wifi).
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf
La stratégie d'audit détermine les caractéristiques des enregistrements d'audit pour le système local. Il peut être utile de modifier la stratégie d'audit pour enregistrer des informations détaillées sur les commandes auditées, ajouter un nom de zone à chaque enregistrement ou satisfaire aux exigences d'autres sites en matière de sécurité.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
$ auditconfig -getpolicy ...
Pour obtenir une explication de la sortie, reportez-vous à la section Procédure d'affichage des paramètres par défaut du service d'audit.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
Remarque - Les options de stratégie perzone et ahlt ne peuvent être définies que dans la zone globale. Pour que les compromis utilisent une option de stratégie particulière, reportez-vous à la section Assimilation des concepts de stratégie d'audit.
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
Facultatif. Crée une stratégie temporaire ou active. Vous pouvez définir une stratégie temporaire à des fins de débogage ou de test.
Une politique temporaire reste en vigueur jusqu'à ce que le service d'audit soit actualisé ou que la stratégie soit modifiée par la commande auditconfig -setpolicy.
La valeur prefix + ajoute la liste des stratégies à la stratégie actuelle. La valeur prefix - supprime la liste des stratégies de la stratégie actuelle. Sans un préfixe, la stratégie d'audit est réinitialisée. Cette option vous permet de conserver les stratégies d'audit en cours.
Sélectionne la stratégie à activer ou désactiver.
Exemple 28-6 Définition de l'option de stratégie d'audit ahlt
Dans cet exemple, la stratégie cnt est désactivée et la stratégie ahlt est activée. Avec cette configuration, l'utilisation du système est interrompue lorsque les files d'attente d'audit sont complètes et qu'un événement asynchrone se produit. Lorsqu'un événement synchrone se produit, le processus qui a créé le thread se bloque. Cette configuration est appropriée lorsque la sécurité est plus importante que la disponibilité. Pour plus d'informations, reportez-vous à la section Stratégies d'audit des événements asynchrones et synchrones.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
Le signe plus (+) avant la stratégie ahlt ajoute la stratégie aux paramètres de stratégie en cours. Sans le signe plus, la stratégie ahlt remplace les paramètres de la stratégie actuelle.
Exemple 28-7 Définition d'une stratégie d'audit temporaire
Dans cet exemple, le service d'audit est activé et la stratégie d'audit ahlt est configurée. L'administrateur ajoute la stratégie d'audit trail à la stratégie active (+trail), mais ne configure pas le service d'audit pour une utilisation permanente de la stratégie d'audit trail (-t). La stratégie trail contribue à la restauration des pistes d'audit endommagées.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
L'administrateur désactive la stratégie trail lorsque le débogage est terminé.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
L'actualisation du service d'audit à l'aide de la commande audit -s supprime également cette stratégie temporaire, ainsi que d'autres valeurs temporaires dans le service d'audit. Pour obtenir des exemples d'autres valeurs temporaires, reportez-vous à la section Procédure de modification des contrôles de file d'attente d'audit.
Exemple 28-8 Définition de la stratégie d'audit perzone
Dans cet exemple, la stratégie d'audit perzone est ajoutée à la stratégie existante dans la zone globale. Le paramètre de stratégie perzone est stocké en tant que propriété permanente, de sorte que la stratégie perzone est en vigueur au cours de la session et au redémarrage du service d'audit.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cnt
Le service d'audit fournit des valeurs par défaut pour les paramètres de file d'attente d'audit. Vous pouvez examiner, modifier définitivement et modifier temporairement ces valeurs à l'aide de la commande auditconfig.
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
$ auditconfig -getqctrl ...
Pour obtenir une explication de la sortie, reportez-vous à la section Procédure d'affichage des paramètres par défaut du service d'audit.
Pour obtenir des exemples et une description des contrôles de file d'attente d'audit, reportez-vous à la page de manuel auditconfig(1M).
Pour modifier certains ou tous les contrôles de file d'attente d'audit, utilisez l'option -setqctrl.
# auditconfig [ -t ] -setqctrl hiwater lowater bufsz interval
Par exemple, définissez la valeur interval sur 10 sans définir d'autres contrôles.
# auditconfig -setqctrl 0 0 0 10
Pour modifier un contrôle de file d'attente d'audit donné, spécifiez son option. L'option -setqdelay est l'équivalent de -setqctrl 0 0 0 interval, comme dans # auditconfig -setqdelay 10.
# auditconfig [ -t ] -setqhiwater value # auditconfig [ -t ] -setqlowater value # auditconfig [ -t ] -setqbufsz value # auditconfig [ -t ] -setqdelay value
Exemple 28-9 Rétablissement de la valeur par défaut d'un contrôle de file d'attente d'audit
L'administrateur définit tous les contrôles de file d'attente d'audit, puis modifie la valeur lowater dans le référentiel par la valeur par défaut.
# auditconfig -setqctrl 200 5 10216 10 # auditconfig -setqctrl 200 0 10216 10 configured audit queue hiwater mark (records) = 200 no configured audit queue lowater mark configured audit queue buffer size (bytes) = 10216 configured audit queue delay (ticks) = 10 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 5 active audit queue buffer size (bytes) = 10216 active audit queue delay (ticks) = 10
Par la suite, l'administrateur définit la valeur lowater par la valeur par défaut pour la session en cours.
# auditconfig -setqlowater 10 # auditconfig -getqlowater configured audit queue lowater mark (records) = 10 active audit queue lowater mark (records) = 10
Le script /etc/security/audit_warn génère un message pour informer l'administrateur d'incidents d'audit qui nécessitent son attention. Vous pouvez personnaliser le script et envoyer le message à un compte autre que root.
Si la stratégie perzone est définie, l'administrateur de la zone non globale doit configurer l'alias de messagerie audit_warn dans la zone non globale.
Avant de commencer
Vous devez être dans le rôle root.
Procédez de l'une des manières suivantes :
OPTION 1 : remplacez l'alias de messagerie audit_warn par un autre compte de messagerie dans le script audit_warn.
Remplacez l'alias de messagerie audit_warn dans la ligne ADDRESS du script par une autre adresse :
#ADDRESS=audit_warn # standard alias for audit alerts ADDRESS=audadmin # role alias for audit alerts
Attention - Lorsque vous effectuez une mise à niveau vers une nouvelle version du SE Oracle Solaris, vous devez fusionner manuellement votre fichier audit_warn personnalisé avec le fichier audit_warn.new. Ce nouveau fichier peut contenir des modifications importantes. Pour obtenir une description de l'action du fichier preserve=renamenew sur la mise à niveau, reportez-vous à la page de manuel pkg(5). |
OPTION 2 : redirigez l'e-mail audit_warn vers un autre compte de messagerie.
Dans ce cas, vous devez ajouter l'alias de messagerie audit_warn au fichier d'alias de messagerie approprié. Vous pouvez ajouter l'alias au fichier local /etc/mail/aliases ou à la base de données mail_aliases de l'espace de noms. L'entrée /etc/mail/aliases doit ressembler à ce qui suit si les comptes électroniques root et audadmin ont été ajoutés en tant que membres de l'alias de messagerie audit_warn :
audit_warn: root,audadmin
Ensuite, exécutez la commande newaliases pour reconstruire la base de données d'accès aléatoire pour le fichier alias.
# newaliases /etc/mail/aliases: 14 aliases, longest 10 bytes, 156 bytes total
Lorsque vous créez votre propre classe d'audit, vous pouvez y placer uniquement les événements que vous souhaitez auditer pour votre site.
Lorsque vous ajoutez la classe sur un seul système, copiez la modification sur tous les systèmes audités. Il est préférable de créer les classes d'audit avant d'activer le service d'audit.
Attention - Lorsque vous effectuez une mise à niveau vers une nouvelle version du SE Oracle Solaris, vous devez fusionner manuellement votre fichier audit_class personnalisé avec le fichier audit_class.new. Ce nouveau fichier peut contenir des modifications importantes. Pour obtenir une description de l'action du fichier preserve=renamenew sur la mise à niveau, reportez-vous à la page de manuel pkg(5). |
Avant de commencer
L'entrée doit être unique. Vous devez choisir des bits libres. Les bits disponibles à l'usage du client sont décrits dans le fichier /etc/security/audit_class.
Vous devez être dans le rôle root.
# cp /etc/security/audit_class /etc/security/audit_class.orig
Chaque entrée possède le format suivant :
0x64bitnumber:flag:description
Pour une description des champs, reportez-vous à la page de manuel audit_class(4). Pour obtenir la liste des classes existantes, consultez le fichier /etc/security/audit_class.
Exemple 28-10 Création d'une nouvelle classe d'audit
Cet exemple crée une classe pour contenir les commandes d'administration exécutées dans le cadre d'un rôle. L'entrée ajoutée au fichier audit_class se présente comme suit :
0x0100000000000000:pf:profile command
L'entrée crée la nouvelle classe d'audit pf. L'Exemple 28-11 remplit la nouvelle classe d'audit.
Erreurs fréquentes
Si vous avez personnalisé le fichier audit_class, assurez-vous que les exceptions utilisateur éventuelles au masque de présélection d'audit du système sont cohérentes avec les nouvelles classes d'audit. Des erreurs se produisent lorsqu'une valeur audit_flags n'est pas un sous-ensemble du fichier audit_class.
Vous pouvez être amené à modifier l'appartenance à une classe d'un événement d'audit pour réduire la taille d'une classe d'audit ou pour placer l'événement dans une classe à part.
Attention - Ne commentez jamais les événements dans le fichier audit_event. Ce fichier est utilisé par la commande praudit binaire pour lire les fichiers d'audit binaires. Les fichiers d'audit archivés peuvent contenir des événements répertoriés dans le fichier. |
Lorsque vous reconfigurez les mappages événements-classes d'audit d'un système, copiez la modification sur tous les systèmes audités. Il est vivement conseillé de modifier les mappages événements-classes avant que les utilisateurs ne se connectent.
Attention - Lorsque vous effectuez une mise à niveau vers une nouvelle version du SE Oracle Solaris, vous devez fusionner manuellement votre fichier audit_event personnalisé avec le fichier audit_event.new. Ce nouveau fichier peut contenir des modifications importantes. Pour obtenir une description de l'action du fichier preserve=renamenew sur la mise à niveau, reportez-vous à la page de manuel pkg(5). |
Avant de commencer
Vous devez être dans le rôle root.
# cp /etc/security/audit_event /etc/security/audit_event.orig
Chaque entrée possède le format suivant :
number:name:description:class-list
ID de l'événement d'audit.
Nom de l'événement d'audit.
En règle générale, l'appel système ou l'exécutable qui déclenche la création d'un enregistrement d'audit.
Liste de classes d'audit séparées par des virgules.
Exemple 28-11 Mappage d'événements d'audit existants sur une nouvelle classe
Dans cet exemple, un événement d'audit existant est mappé à la nouvelle classe créée dans l'Exemple 28-10. Par défaut, l'événement d'audit AUE_PFEXEC est mappé à quatre classes, ps, ex, ua et as. En créant la nouvelle classe, l'administrateur peut auditer les événements AUE_PFEXEC sans auditer les événements dans les quatre autres classes.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # vi /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)