| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
audit_binfile 및 audit_syslog 의 두 감사 플러그인은 구성 가능한 위치로 감사 로그를 보냅니다. 다음 작업은 이러한 로그를 구성하는 데 유용합니다.
다음 작업 맵에서는 다양한 플러그인에 대한 감사 로그를 구성하기 위한 절차를 안내합니다. 모든 작업은 선택 사항입니다.
|
다음 절차에서는 감사 파일에 대한 ZFS 풀과 해당하는 파일 시스템 및 마운트 지점을 만드는 방법을 설명합니다. 기본적으로 /var/audit 파일 시스템에는 audit_binfile 플러그인에 대한 감사 파일이 포함됩니다.
시작하기 전에
ZFS File System Management 및 ZFS Storage Management 권한 프로파일이 지정되어야 합니다. ZFS Storage Management 권한 프로파일을 사용하여 저장소 풀을 만들 수 있습니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
호스트당 200MB 이상의 디스크 공간을 지정합니다. 하지만 필요한 감사의 양에 따라 디스크 공간 요구 사항이 결정됩니다. 따라서 디스크 공간 요구 사항은 이 그림보다 훨씬 높을 수 있습니다.
주 - 기본 클래스 사전 선택은 lo 클래스의 모든 기록되는 이벤트 인스턴스(로그인, 로그아웃, 역할 지정 등)에 대해 약 80바이트씩 증가하는 파일을 /var/audit에 만듭니다.
zpool create 명령은 ZFS 파일 시스템에 대한 컨테이너인 저장소 풀을 만듭니다. 자세한 내용은 Oracle Solaris 관리: ZFS 파일 시스템의 1 장, Oracle Solaris ZFS 파일 시스템(소개)을 참조하십시오.
# zpool create audit-pool mirror disk1 disk2
예를 들어, c3t1d0 및 c3t2d0의 두 디스크에서 auditp 풀을 만들고 미러링합니다.
# zpool create auditp mirror c3t1d0 c3t2d0
하나의 명령으로 파일 시스템 및 마운트 지점을 만듭니다. 생성 시 파일 시스템이 마운트됩니다. 예를 들어, 다음 그림은 호스트 이름으로 저장되는 감사 추적 저장소를 보여줍니다.
주 - 파일 시스템을 암호화하려는 경우 생성 시 파일 시스템을 암호화해야 합니다. 예는 예 28-12를 참조하십시오.
암호화에는 관리가 필요합니다. 예를 들어, 마운트 시 암호문이 필요합니다. 자세한 내용은 Oracle Solaris 관리: ZFS 파일 시스템의 ZFS 파일 시스템 암호화를 참조하십시오.
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
예를 들어, auditf 파일 시스템에 대한 /audit 마운트 지점을 만듭니다.
# zfs create -o mountpoint=/audit auditp/auditf
# zfs create -p auditp/auditf/system
예를 들어, sys1 시스템에 대한 암호화되지 않은 ZFS 파일 시스템을 만듭니다.
# zfs create -p auditp/auditf/sys1
추가 파일 시스템을 만드는 한 가지 이유는 감사 오버플로우를 막기 위함입니다. 단계 9에 나온 대로 파일 시스템당 ZFS 할당량을 설정할 수 있습니다. audit_warn 전자 메일 별칭은 각 할당량에 도달하면 알려줍니다. 공간을 확보하기 위해 닫힌 감사 파일을 원격 서버로 이동할 수 있습니다.
# zfs create -p auditp/auditf/sys1.1 # zfs create -p auditp/auditf/sys1.2
다음 ZFS 등록 정보는 풀의 모든 파일 시스템에 대해 off로 설정됩니다.
# zfs set devices=off auditp/auditf # zfs set exec=off auditp/auditf # zfs set setuid=off auditp/auditf
일반적으로 압축은 ZFS의 파일 시스템 레벨에서 설정됩니다. 하지만 이 풀의 모든 파일 시스템에는 감사 파일이 포함되므로 압축은 풀에 대한 최상위 레벨 데이터 집합에서 설정됩니다.
# zfs set compression=on auditp
또한 Oracle Solaris 관리: ZFS 파일 시스템의 ZFS 압축, 중복 제거 및 암호화 등록 정보 간의 상호 작용을 참조하십시오.
상위 파일 시스템, 종속 파일 시스템 또는 둘 다에서 할당량을 설정할 수 있습니다. 상위 감사 파일 시스템에서 할당량을 설정할 경우 종속 파일 시스템에 대한 할당량을 설정하면 제한이 추가됩니다.
다음 예에서는 auditp 풀의 두 디스크가 모두 할당량에 도달하면 audit_warn 스크립트가 감사 관리자에게 알려줍니다.
# zfs set quota=510G auditp/auditf
다음 예에서는 auditp/auditf/ system 파일 시스템에 대한 할당량에 도달하면 audit_warn 스크립트가 감사 관리자에게 알려줍니다.
# zfs set quota=170G auditp/auditf/sys1 # zfs set quota=170G auditp/auditf/sys1.1 # zfs set quota=165G auditp/auditf/sys1.2
기본적으로 감사 파일은 풀의 크기까지 커질 수 있습니다. 관리 용이성을 위해 감사 파일의 크기를 제한합니다. 예 28-14를 참조하십시오.
예 28-12 감사 파일에 대한 암호화된 파일 시스템 만들기
사이트 보안 요구 사항을 준수하기 위해 관리자는 암호화를 사용하여 감사 파일 시스템을 만듭니다. 그런 다음 관리자는 마운트 지점을 설정합니다.
# zfs create -o encryption=on auditp/auditf Enter passphrase for auditp/auditf': /** Type 8-character minimum passphrase**/ Enter again: /** Confirm passphrase **/ # zfs set -o mountpoint=/audit auditp/auditf
관리자가 auditf 파일 시스템에 추가 파일 시스템을 만들면 이러한 종속 파일 시스템도 암호화됩니다.
예 28-13 /var/audit 디렉토리에서 할당량 설정
이 예에서는 관리자가 기본 감사 파일 시스템에서 할당량을 설정합니다. 이 할당량에 도달하면 audit_warn 스크립트가 감사 관리자에게 경고합니다.
# zfs set quota=252G rpool/var/audit
이 절차에서는 audit_binfile 플러그인에 대한 속성을 사용하여 감사 추적에 추가 디스크 공간을 지정합니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
audit_binfile(5) 매뉴얼 페이지의 OBJECT ATTRIBUTES 절을 참조하십시오.
# man audit_binfile
...
OBJECT ATTRIBUTES
The p_dir attribute specifies where the audit files will be
created. The directories are listed in the order in which
they are to be used.
The p_minfree attribute defines the percentage of free space
that the audit system requires before the audit daemon invokes
the audit_warn script.
The p_fsize attribute defines the maximum size in bytes that
an audit file can become before it is automatically closed
and a new audit file opened. ...기본 파일 시스템은 /var/audit입니다.
# auditconfig -setplugin audit_binfile active p_dir=/audit/sys1.1,/var/audit
위의 명령은 /audit/sys1.1 파일 시스템을 감사 파일에 대한 기본 디렉토리로 설정하고 기본 /var/audit 파일 시스템을 보조 디렉토리로 설정합니다. 이 시나리오에서는 /var/audit가 마지막 의존 디렉토리입니다. 이 구성이 성공하려면 /audit/sys1.1 파일 시스템이 존재해야 합니다.
감사 파일에 대한 ZFS 파일 시스템을 만드는 방법에서 유사한 파일 시스템을 만들었습니다.
auditconfig -setplugin 명령은 구성된 값을 설정합니다. 이 값은 감사 서비스의 등록 정보이므로 서비스를 새로 고치거나 다시 시작해도 복원됩니다. 감사 서비스가 새로 고쳐지거나 다시 시작되면 구성된 값이 활성이 됩니다. 구성된 값 및 활성 값에 대한 자세한 내용은 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
# audit -s
예 28-14 audit_binfile 플러그인에 대한 파일 크기 제한
다음 예에서는 이진 감사 파일의 크기가 특정 크기로 설정됩니다. 크기는 메가바이트로 지정됩니다.
# auditconfig -setplugin audit_binfile active p_fsize=4M
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;
기본적으로 감사 파일은 무제한으로 커질 수 있습니다. 더 작은 감사 파일을 만들기 위해 관리자는 4MB의 파일 크기 제한을 지정합니다. 제한 크기에 도달하면 감사 서비스는 새 파일을 만듭니다. 파일 크기 제한은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s
예 28-15 감사 플러그인에 여러 변경 사항 지정
다음 예에서는 처리량이 많고 ZFS 풀이 큰 시스템의 관리자가 audit_binfile 플러그인에 대한 대기열 크기, 이진 파일 크기 및 소프트 제한 경고를 변경합니다. 관리자는 감사 파일이 4GB까지 커질 수 있도록 허용하고, ZFS 풀의 2%가 남으면 경고를 받으며, 허용된 할당량 크기를 두 배로 늘립니다. 기본 대기열 크기는 active audit queue hiwater mark (records) = 100과 같이 커널 감사 대기열에 대한 고수위 마크인 100입니다.
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;
# auditconfig -setplugin audit_binfile active "p_minfree=2;p_fsize=4G" 200
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Queue size: 200
변경된 지정 사항은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s
예 28-16 감사 플러그인에 대한 대기열 크기 제거
다음 예에서는 audit_binfile 플러그인에 대한 대기열 크기가 제거됩니다.
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Queue size: 200
# auditconfig -setplugin audit_binfile active "" ""
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
마지막 비어 있는 큰 따옴표("")는 플러그인에 대한 대기열 크기를 기본값으로 설정합니다.
플러그인에 대한 qsize 지정 변경 사항은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s
예 28-17 경고에 대한 소프트 제한 설정
이 예에서는 모든 감사 파일 시스템에 대한 최소 사용 가능 공간 레벨을 설정하여 파일 시스템의 2%를 아직 사용할 수 있을 때 경고를 보냅니다.
# auditconfig -setplugin audit_binfile active p_minfree=2
기본값은 1%입니다. 대형 ZFS 풀의 경우 적당히 낮은 백분율을 선택합니다. 예를 들어, 16TB 풀의 10%는 16GB이므로 충분한 디스크 공간이 남아 있을 때 감사 관리자에게 경고를 보내게 됩니다. 값이 2이면 약 2GB의 디스크 공간이 남아 있을 때 audit_warn 메시지를 보냅니다.
audit_warn 전자 메일 별칭이 경고를 수신합니다. 별칭을 설정하려면 audit_warn 전자 메일 별칭을 구성하는 방법을 참조하십시오.
또한 대형 풀의 경우 관리자는 파일 크기를 3GB로 제한할 수 있습니다.
# auditconfig -setplugin audit_binfile active p_fsize=3G
플러그인에 대한 p_minfree 및 p_fsize 지정 사항은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s
이 절차에서는 audit_remote 플러그인에 대한 속성을 사용하여 원격 감사 저장소에 감사 추적을 보냅니다.
시작하기 전에
원격 저장소에서 감사 파일의 수신자여야 합니다. Audit Configuration 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
audit_remote(5) 매뉴얼 페이지의 OBJECT ATTRIBUTES 절을 참조하십시오.
# man audit_remote
...
OBJECT ATTRIBUTES
The p_hosts attribute specifies the remote servers.
You can also specify the port number and the GSS-API
mechanism.
The p_retries attribute specifies the number of retries for
connecting and sending data. The default is 3.
The p_timeout attribute specifies the number of seconds
in which a connection times out.기본 포트는 solaris_audit IANA 지정 포트인 16162/tcp입니다. 기본 방식은 kerberos_v5입니다. 시간 초과 기본값은 5초입니다. 플러그인에 대한 대기열 크기도 지정할 수 있습니다.
# auditconfig -setplugin audit_remote active p_hosts=rhost1:16088:kerberos_v5
# auditconfig -setplugin audit_remote active p_retries=5
# auditconfig -setplugin audit_remote active p_timeout=3
감사 서비스는 새로 고쳐질 때 감사 플러그인 변경 사항을 읽습니다.
# audit -s
감사 서비스에서 감사 대기열의 감사 레코드 중 일부나 모두를 syslog 유틸리티에 복사하도록 지시할 수 있습니다. 이진 감사 데이터와 텍스트 요약을 모두 기록할 경우 이진 데이터는 완전한 감사 레코드를 제공하고, 요약은 실시간 검토를 위해 데이터를 필터링합니다.
시작하기 전에
audit_syslog 플러그인을 구성하려면 Audit Configuration 권한 프로파일이 지정되어야 합니다. syslog 유틸리티를 구성하려면 root 역할을 가진 사용자여야 합니다.
주 - p_flags 감사 클래스는 시스템 기본값으로 또는 사용자나 권한 프로파일의 감사 플래그로 사전 선택되어야 합니다. 사전 선택되지 않은 클래스에 대한 레코드는 수집되지 않습니다.
# auditconfig -setplugin audit_syslog active p_flags=lo,+as,-ss
감사 서비스는 새로 고쳐질 때 감사 플러그인 변경 사항을 읽습니다.
# audit -s
감사 서비스는 확장 출력을 생성할 수 있습니다. 로그를 관리하려면 logadm(1M) 매뉴얼 페이지를 참조하십시오.
예 28-18 syslog 출력에 대한 감사 클래스 지정
다음 예에서는 syslog 유틸리티가 사전 선택된 감사 클래스를 일부를 수집합니다. pf 클래스는 예 28-10에서 만들어졌습니다.
# auditconfig -setnaflags lo,na # auditconfig -setflags lo,ss # usermod -K audit_flags=pf:no jdoe # auditconfig -setplugin audit_syslog active p_flags=lo,+na,-ss,+pf
auditconfig 명령에 대한 인수는 시스템에서 모든 로그인/로그아웃, 지정 불가능 및 시스템 상태 감사 레코드의 변경 사항을 수집하도록 지시합니다. audit_syslog 플러그인 항목은 syslog 유틸리티에서 모든 로그인, 성공한 지정 불가능 이벤트 및 시스템의 상태의 실패한 변경 사항을 수집하도록 지시합니다.
jdoe 사용자의 경우 이진 감사 레코드에는 pfexec 명령 호출의 모든 사용이 포함됩니다. 이러한 이벤트를 사후 선택에 사용할 수 있으려면 audit_binfile 또는 audit_remote 플러그인이 활성화되어야 합니다. syslog 유틸리티는 pfexec 명령에 대해 성공한 호출을 수집합니다.
예 28-19 원격 시스템에 syslog 감사 레코드 두기
syslog.conf 파일의 audit.notice 항목이 원격 시스템을 가리키도록 변경할 수 있습니다. 예를 들어, 로컬 시스템의 이름은 sys1.1입니다. 원격 시스템은 remote1입니다.
sys1.1 # cat /etc/syslog.conf … audit.notice @remote1
remote1 시스템에 있는 syslog.conf 파일의 audit.notice 항목은 로그 파일을 가리킵니다.
remote1 # cat /etc/syslog.conf … audit.notice /var/adm/auditlog
|