탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
감사 서비스는 영역의 감사 이벤트를 포함한 전체 시스템을 감사합니다. 비전역 영역을 설치한 시스템은 모든 영역을 동일하게 감사하거나 영역별로 감사를 구성할 수 있습니다. 배경 지식은 Oracle Solaris 영역이 있는 시스템에 대한 감사를 참조하십시오. 계획하려면 영역에서 감사를 계획하는 방법을 참조하십시오.
비전역 영역을 전역 영역과 동일하게 감사할 경우 감사 서비스가 전역 영역에서 실행됩니다. 서비스는 전역 영역 및 모든 비전역 영역에서 감사 레코드를 수집합니다. 비전역 영역 관리자에게는 감사 레코드에 대한 액세스 권한이 없을 수 있습니다.
주 - 전역 영역 관리자는 비전역 영역에 있는 사용자의 감사 마스크를 수정하도록 선택할 수 있습니다.
비전역 영역을 개별적으로 감사할 경우 별도의 감사 서비스가 감사되는 각 영역에서 실행됩니다. 각 영역에서는 고유의 감사 레코드를 수집합니다. 레코드는 비전역 영역 및 비전역 영역 루트의 전역 영역에 표시됩니다.
이 절차에서는 모든 영역을 동일하게 감사할 수 있습니다. 이 방법에는 가장 작은 컴퓨터 오버헤드와 관리 리소스가 요구됩니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
다음 예외 사항을 적용하여 감사 서비스 구성(작업 맵)에서 작업을 완료합니다.
perzone 감사 정책을 사용으로 설정하지 않습니다.
감사 서비스를 사용으로 설정하지 않습니다. 감사를 위해 비전역 영역을 구성한 후 감사 서비스를 사용으로 설정합니다.
zonename 정책을 설정합니다. 이 정책은 영역의 이름을 모든 감사 레코드에 추가합니다.
# auditconfig -setpolicy +zonename
audit_class 또는 audit_event 파일을 수정한 경우 두 가지 방법 중 하나로 복사합니다.
파일을 루프백 마운트할 수 있습니다.
파일을 복사할 수 있습니다.
비전역 영역이 실행되고 있어야 합니다.
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] commit end exit
# zoneadm -z non-global-zone boot
나중에 전역 영역에서 감사 구성 파일을 수정할 경우 영역을 재부트하여 비전역 영역에서 루프백 마운트된 파일을 새로 고칩니다.
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
나중에 전역 영역에서 이러한 파일 중 하나를 변경할 경우 비전역 영역에 파일을 다시 복사해야 합니다.
감사 서비스가 전역 영역에서 사용으로 설정되면 비전역 영역이 감사됩니다.
예 28-20 감사 구성 파일을 영역의 루프백 마운트로 마운트
이 예에서는 시스템 관리자가 audit_class , audit_event 및 audit_warn 파일을 수정했습니다.
audit_warn 파일은 전역 영역에서만 읽히므로 비전역 영역에 마운트할 필요가 없습니다.
이 시스템 machine1에서 관리자는 machine1–webserver 및 machine1–appserver의 두 비전역 영역을 만들었습니다. 관리자는 감사 구성 파일 수정을 마쳤습니다. 관리자가 나중에 파일을 수정할 경우 영역을 재부트하여 루프백 마운트를 다시 읽어야 합니다.
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] commit end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end ... exit
비전역 영역이 재부트되면 audit_class 및 audit_event 파일은 영역에서 읽기 전용입니다.
이 절차에서는 별도의 영역 관리자가 해당 영역에서 감사 서비스를 제어할 수 있습니다. 전체 정책 옵션 목록은 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
감사를 구성하려면 Audit Configuration 권한 프로파일이 지정되어야 합니다. 감사 서비스를 사용으로 설정하려면 Audit Control 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
주 - 전역 영역에서 감사 서비스를 사용으로 설정할 필요는 없습니다.
특히 perzone 또는 ahlt 정책을 비전역 영역에 추가하지 않습니다.
myzone# audit -s
예 28-21 비전역 영역에서 감사를 사용 안함으로 설정
이 예는 전역 영역에서 perzone 감사 정책을 설정한 경우 유효합니다. noaudit 영역의 영역 관리자는 해당 영역에 대한 감사를 사용 안함으로 설정합니다.
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit