Configuration des journaux d'audit (tâches)

Deux plug-ins d'audit, audit_binfile et audit_syslog , peuvent créer des journaux d'audit locaux. Les tâches suivantes vous aident à configurer ces journaux.

Configuration des journaux d'audit (liste des tâches)

La liste des tâches suivante indique les procédures de configuration des journaux d'audit pour les différents plug-ins. La configuration de journaux pour le plug-in audit_binfile est facultative. Les journaux des autres plug-ins doivent être configurés par un administrateur.

Tâche	Description	Voir
Ajout d'espace de stockage local pour le plug-in `audit_binfile`.	Crée de l'espace disque supplémentaire pour les fichiers d'audit et les protège à l'aide d'autorisations de fichiers.	Création de systèmes de fichiers ZFS pour les fichiers d'audit
Assignation d'espace de stockage pour le plug-in `audit_binfile`.	Identifie les répertoires pour les enregistrements d'audit binaires.	Affectation de l'espace d'audit pour la piste d'audit
Configuration de la transmission des enregistrements d'audit vers un système distant.	Vous permet d'envoyer des enregistrements d'audit à un référentiel distant par le biais d'un mécanisme protégé.	Envoi des fichiers d'audit à un référentiel distant
Configuration d'un stockage distant pour les fichiers d'audit.	Vous permet de recevoir des enregistrements d'audit sur un système distant.	Configuration d'un référentiel distant pour les fichiers d'audit
Configuration d'espace de stockage pour le plug-in `audit_syslog`.	Vous permet de diffuser les événements d'audit au format texte à `syslog`.	Configuration des journaux d'audit `syslog`

Création de systèmes de fichiers ZFS pour les fichiers d'audit

La procédure suivante décrit la création d'un pool ZFS pour les fichiers d'audit, ainsi que les systèmes de fichiers et points de montage correspondants. Par défaut, le système de fichiers /var/audit contient les fichiers d'audit pour le plug-in audit_binfile.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant des profils de droits ZFS File System Management (gestion de système de fichiers ZFS) et ZFS Storage Management (gestion de stockage ZFS). Le dernier profil vous permet de créer des pools de stockage. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Déterminez la quantité d'espace disque requis.
Attribuez au moins 200 Mo d'espace disque par hôte. Toutefois, le type d'audit dont vous avez besoin dicte l'espace disque requis. Par conséquent, elles peuvent être beaucoup plus élevées que cette figure.

Remarque - La présélection de classe par défaut crée des fichiers dans /var/audit qui augmentent d'environ 80 octets pour chaque instance enregistrée d'un événement dans la classe lo, notamment la prise de rôle, la connexion ou la déconnexion.
Créez un pool de stockage ZFS mis en miroir.
La commande zpool create crée un pool de stockage, c'est-à-dire un conteneur pour les systèmes de fichiers ZFS. Pour plus d'informations, reportez-vous au Chapitre 1, Système de fichiers Oracle Solaris ZFS (introduction) du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.
```
# zpool create audit-pool mirror disk1 disk2
```
Par exemple, créez le pool auditp à partir de deux disques, c3t1d0 et c3t2d0, et mettez-les en miroir.
```
# zpool create auditp mirror c3t1d0 c3t2d0
```
Créez un système de fichiers ZFS et un point de montage pour les fichiers d'audit.
Vous créez le système de fichiers et le point de montage à l'aide d'une seule commande. Au moment de la création, le système de fichiers est monté. Par exemple, l'illustration suivante indique le stockage de la piste d'audit, trié par nom d'hôte.

Remarque - Si vous envisagez de chiffrer le système de fichiers, vous devez le faire lors de sa création. Pour voir un exemple, reportez-vous à l'Exemple 28-12.
Le chiffrement doit se gérer. Par exemple, une phrase de passe est nécessaire au moment du montage. Pour plus d'informations, reportez-vous à la section Chiffrement des systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.
```
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
```
Par exemple, créez le point de montage /audit pour le système de fichiers auditf.
```
# zfs create -o mountpoint=/audit auditp/auditf
```
Créez un système de fichiers ZFS pour les fichiers d'audit.
```
# zfs create -p auditp/auditf/system
```
Par exemple, créez un système de fichiers ZFS non chiffré pour le système sys1.
```
# zfs create -p auditp/auditf/sys1
```
(Facultatif) Créez des systèmes de fichiers supplémentaires pour les fichiers d'audit.
Une des raisons de créer des systèmes de fichiers supplémentaires est d'empêcher un débordement d'audit. Vous pouvez définir un quota ZFS par système de fichiers, comme illustré à l'Étape 8. L'alias électronique audit_warn vous avertit lorsque chaque quota est atteint. Pour libérer de l'espace, vous pouvez déplacer les fichiers d'audit fermés vers un serveur distant.
```
# zfs create -p auditp/auditf/sys1.1
# zfs create -p auditp/auditf/sys1.2
```
Protégez le système de fichiers d'audit parent.
Les propriétés ZFS suivantes sont définies sur off pour tous les systèmes de fichiers du pool :
```
# zfs set devices=off auditp/auditf
# zfs set exec=off auditp/auditf
# zfs set setuid=off auditp/auditf
```
Compressez les fichiers d'audit dans le pool.
En règle générale, la compression est définie dans ZFS au niveau du système de fichiers. Toutefois, dans la mesure où tous les systèmes de fichiers présents dans ce pool contiennent les fichiers d'audit, la compression est définie au niveau du jeu de données supérieur du pool.
```
# zfs set compression=on auditp
```
Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.
Définissez des quotas.
Vous pouvez définir des quotas sur le système de fichiers parent, les systèmes de fichiers descendants, ou les deux. Si vous définissez un quota sur le système de fichiers d'audit parent, les quotas sur les systèmes de fichiers descendants imposent une limite supplémentaire.
1. Définissez un quota sur le système de fichiers d'audit parent.
  Dans l'exemple ci-dessous, lorsque les deux disques dans le pool auditp atteignent le quota, le script audit_warn notifie l'administrateur de l'audit.
```
# zfs set quota=510G auditp/auditf
```
2. Définissez un quota sur les systèmes de fichiers d'audit descendants.
  Dans l'exemple ci-dessous, lorsque le quota pour le système de fichiers auditp/auditf/system est atteint, le script audit_warn notifie l'administrateur de l'audit.
```
# zfs set quota=170G auditp/auditf/sys1
# zfs set quota=170G auditp/auditf/sys1.1
# zfs set quota=165G auditp/auditf/sys1.2
```
Pour un grand pool, limitez la taille des fichiers d'audit.
Par défaut, un fichier d'audit peut atteindre la taille du pool. Pour faciliter la gestion, limitez la taille des fichiers d'audit. Reportez-vous à l'Exemple 28-14.

Exemple 28-12 Création d'un système de fichiers chiffré pour les fichiers d'audit

Pour respecter les exigences du site en matière de sécurité, l'administrateur crée le système de fichiers d'audit avec le chiffrement activé. Ensuite, il définit le point de montage.

# zfs create -o encryption=on auditp/auditf
Enter passphrase for auditp/auditf': /** Type 8-character minimum passphrase**/
Enter again: /** Confirm passphrase **/
# zfs set -o mountpoint=/audit auditp/auditf

Le système de fichiers est inaccessible sans la phrase de passe, de sorte que l'administrateur l'enregistre dans un emplacement sécurisé.

Lorsqu'il crée d'autres systèmes de fichiers sous le système de fichiers auditf, ces systèmes de fichiers descendants sont également chiffrés.

Exemple 28-13 Définition d'un quota sur le répertoire /var/audit

Dans cet exemple, l'administrateur définit un quota sur le système de fichiers d'audit par défaut. Lorsque ce quota est atteint, le script audit_warn avertit l'administrateur de l'audit.

# zfs set quota=252G rpool/var/audit

Affectation de l'espace d'audit pour la piste d'audit

Dans cette procédure, vous utilisez des attributs pour le plug-in audit_binfile pour affecter plus d'espace sur le disque à la piste d'audit.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Déterminez les attributs du plug-in audit_binfile.

Lisez la section OBJECT ATTRIBUTES de la page de manuel audit_binfile(5).

# man audit_binfile
...
OBJECT ATTRIBUTES
     The p_dir attribute specifies where the audit files will be created. 
     The directories are listed in the order in which they are to be used.
     
     The p_minfree attribute defines the percentage of free space that the
     audit system requires before the audit daemon invokes the audit_warn 
     script.
    
     The p_fsize attribute defines the maximum size that an audit
     file can become before it is automatically closed and a new 
     audit file is opened. ... The format of the p_fsize value can 
     be specified as an exact value in bytes or in a human-readable
     form with a suffix of  B,  K, M, G, T, P, E, Z (for bytes, 
     kilobytes, megabytes, gigabytes, terabytes,  petabytes, exabytes,
     or zettabytes, respectively). Suffixes of KB, MB, GB, TB, PB, EB,
     and ZB are also accepted.

Pour ajouter des répertoires à la piste d'audit, spécifiez l'attribut p_dir.
Le système de fichiers par défaut est /var/audit.
```
# auditconfig -setplugin audit_binfile p_dir=/audit/sys1.1,/var/audit
```
La commande ci-dessus définit le système de fichiers /audit/sys1.1 en tant que répertoire principal pour les fichiers d'audit et le système de fichiers par défaut /var/audit en tant que répertoire secondaire. Dans ce scénario, /var/audit est le répertoire de dernier recours. Pour que cette configuration réussisse, le système de fichiers /audit/sys1.1 doit exister.
Vous avez créé un système de fichiers similaire à la section Création de systèmes de fichiers ZFS pour les fichiers d'audit.
Actualisez le service d'audit.
La commande auditconfig -setplugin définit la valeur configurée. Cette valeur est une propriété du service d'audit, de sorte qu'elle est restaurée lorsque le service est actualisé ou redémarré. La valeur configurée devient active lorsque le service d'audit est actualisé ou redémarré. Pour plus d'informations sur les valeurs configurées et actives, reportez-vous à la page de manuel auditconfig(1M)
```
# audit -s
```

Exemple 28-14 Limitation de la taille des fichiers pour le plug-in audit_binfile

Dans l'exemple suivant, la taille d'un fichier d'audit binaire est définie sur une taille spécifique. La taille est exprimée en méga-octets.

# auditconfig -setplugin audit_binfile p_fsize=4M
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;

Par défaut, un fichier d'audit peut augmenter sans limite. Pour créer des fichiers d'audit plus petits, l'administrateur spécifie une limite de taille de fichier de 4 Mo. Le service d'audit crée un nouveau fichier lorsque la limite de taille est atteinte. La limite de taille de fichier entre en vigueur une fois le service d'audit actualisé par l'administrateur.

# audit -s

Exemple 28-15 Spécification de plusieurs modifications d'un plug-in d'audit

Dans l'exemple suivant, l'administrateur d'un système doté d'un débit élevé et d'un pool ZFS volumineux modifie la taille de file d'attente, la taille de fichier binaire et l'avertissement de la limite dépassable du plug-in audit_binfile. L'administrateur autorise les fichiers d'audit à augmenter jusqu'à 4 Go, est averti lorsqu'il reste 2 % du pool ZFS et double la taille autorisée de la file d'attente. La taille par défaut de la file d'attente correspond au seuil supérieur de la file d'attente d'audit du noyau, 100, comme dans active audit queue hiwater mark (records) = 100.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;
# auditconfig -setplugin audit_binfile "p_minfree=2;p_fsize=4G" 200
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    Queue size: 200

Les spécifications modifiées entrent en vigueur, une fois le service d'audit actualisé par l'administrateur.

# audit -s

Exemple 28-16 Suppression de la taille de la file d'attente d'un plug-in d'audit

Dans l'exemple suivant, la taille de la file d'attente pour le plug-in audit_binfile est supprimée.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    Queue size: 200
# auditconfig -setplugin audit_binfile "" 0
# auditconfig -getplugin audit_binfile
 Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;

Les guillemets vides ("") conservent les valeurs d'attribut actuelles. Le 0 final définit la taille de la file d'attente pour le plug-in sur la valeur par défaut.

Le changement de la spécification qsize pour le plug-in entre en vigueur une fois que l'administrateur a actualisé le service d'audit.

# audit -s

Exemple 28-17 Définition d'une limite dépassable pour les avertissements

Dans cet exemple, l'espace libre minimum pour tous les systèmes de fichiers d'audit est défini pour qu'un avertissement soit émis lorsque 2 % du système de fichiers restent disponibles.

# auditconfig -setplugin audit_binfile p_minfree=2

Le pourcentage par défaut est un (1). Pour un pool ZFS volumineux, choisissez un pourcentage raisonnablement faible. Par exemple, 10 % d'un pool de 16 To correspond environ à 16 Go ; l'administrateur de l'audit est averti lorsqu'il reste une grande quantité d'espace sur le disque. La valeur 2 envoie le message audit_warn lorsqu'il reste environ 2 Go d'espace sur le disque.

L'alias électronique audit_warn reçoit l'avertissement. Pour configurer l'alias, reportez-vous à la section Configuration de l'alias de messagerie audit_warn .

Pour un pool de grande taille, l'administrateur limite également la taille du fichier à 3 Go.

# auditconfig -setplugin audit_binfile p_fsize=3G

Les spécifications p_minfree et p_fsize pour le plug-in entrent en vigueur lorsque l'administrateur actualise le service d'audit.

# audit -s

Envoi des fichiers d'audit à un référentiel distant

Dans cette procédure, vous utilisez des attributs du plug-in audit_remote pour envoyer la piste d'audit à un référentiel d'audit distant. Pour configurer un référentiel distant sur un système Oracle Solaris, reportez-vous à la section Configuration d'un référentiel distant pour les fichiers d'audit.

Avant de commencer

Vous devez disposer d'un récepteur des fichiers d'audit au niveau du référentiel distant. Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Déterminez les attributs du plug-in audit_remote.

Lisez la section OBJECT ATTRIBUTES de la page de manuel audit_remote(5).

# man audit_remote
...
OBJECT ATTRIBUTES
     The p_hosts attribute specifies the remote servers.
     You can also specify the port number and the GSS-API
     mechanism.
     
     The p_retries attribute specifies the number of retries for
     connecting and sending data. The default is 3.

     The p_timeout attribute specifies the number of seconds
     in which a connection times out.

Le port par défaut est le port affecté par l'IANAsolaris_audit, 16162/tcp. Le mécanisme par défaut est kerberos_v5. Le délai d'attente par défaut est 5 secondes. Vous pouvez également spécifier une taille de file d'attente pour le plug-in.

Pour spécifier le système récepteur distant, utilisez l'attribut p_hosts.
Dans cet exemple, le système récepteur utilise un autre port.
```
# auditconfig -setplugin audit_remote p_hosts=ars.example.com:16088:kerberos_v5
```
Pour modifier d'autres attributs du plug-in, spécifiez-les.
Par exemple, la commande suivante indique des valeurs pour tous les attributs facultatifs :
```
# auditconfig -setplugin audit_remote "p_retries=;p_timeout=3" 300
```

Vérifiez les valeurs, puis activez le plug-in.

Par exemple, les commandes suivantes indiquent et vérifient les valeurs du plug-in :

# auditconfig -getplugin audit_remote
Plugin: audit_remote (inactive)
    Attributes: p_hosts=ars.example.com:16088:kerberos_v5;p_retries=5;p_timeout=3;
    Queue size: 300
# auditconfig -setplugin audit_remote active

Actualisez le service d'audit.
Le service d'audit lit la modification du plug-in d'audit lors de l'actualisation.
```
# audit -s
```

Exemple 28-18 Réglage de la taille de tampon de la file d'attente d'audit

Dans cet exemple, la file d'attente d'audit est saturée derrière le plug-in audit_remote . Ce système audité est configuré pour auditer de nombreuses classes et effectue la transmission sur un réseau lent où le trafic est intense. L'administrateur accroît la taille de tampon du plug-in pour permettre l'augmentation de la taille de la file d'attente et éviter le dépassement de la limite du tampon avant que les enregistrements ne soient supprimés de la file.

audsys1 # auditconfig -setplugin audit_remote "" 1000
audsys1 # audit -s

Configuration d'un référentiel distant pour les fichiers d'audit

Dans cette procédure, vous devez configurer un système distant, le serveur d'audit à distance (ARS), pour recevoir et stocker des enregistrements d'audit à partir d'un ou de plusieurs systèmes audités. Vous devez ensuite activer le démon d'audit sur le serveur distant.

La configuration se fait en deux temps. Tout d'abord, vous configurez les mécanismes de sécurité sous-jacents pour transporter les données d'audit en toute sécurité, et ce en configurant le KDC. Vous configurez ensuite le service d'audit sur le système d'audit et le serveur ARS. Cette procédure illustre un scénario avec un client audité et un serveur ARS, où ce dernier et le KDC se trouvent sur le même serveur. Des scénarios plus complexes peuvent être configurés de la même manière.

Avant de commencer

Vous devez prendre le rôle root. Vous avez installé les packages Kerberos, comme décrit à la section Préparation de la diffusion des enregistrements d'audit vers le stockage distant. Vous travaillez avec un administrateur qui a configuré le système audité, comme décrit à la section Envoi des fichiers d'audit à un référentiel distant.

Configurez le mécanisme de transport de sécurité sous-jacent.

Vous avez besoin d'un KDC sur un système que le système audité et le serveur ARS peuvent utiliser, d'un hôte principal pour chaque système et d'un principal de service audit.

Configurez le KDC.
Si votre site a configuré un KDC, utilisez-le et passez à l'Étape c. La série de commandes suivantes illustre une stratégie de configuration KDC :
```
arstore # kdcmgr -a audr/admin -r EXAMPLE.COM create master
```
Cette commande utilise le principal d'administration audr/admin pour créer un KDC maître dans le domaine EXAMPLE.COM, active le KDC maître et démarre le service Kerberos.

Vérifiez que le KDC est disponible.

Pour plus d'informations, reportez-vous à la page de manuel kdcmgr(1M).

# kdcmgr status
KDC Status Information
--------------------------------------------
svc:/network/security/krb5kdc:default (Kerberos key distribution center)
 State: online since Wed Feb 29 01:59:27 2012
   See: man -M /usr/share/man -s 1M krb5kdc
   See: /var/svc/log/network-security-krb5kdc:default.log
Impact: None.

KDC Master Status Information
--------------------------------------------
svc:/network/security/kadmin:default (Kerberos administration daemon)
 State: online since Wed Feb 29 01:59:28 2012
   See: man -M /usr/share/man -s 1M kadmind
   See: /var/svc/log/network-security-kadmin:default.log
Impact: None.

Transaction Log Information
--------------------------------------------

Kerberos update log (/var/krb5/principal.ulog)
Update log dump :
        Log version # : 1
        Log state : Stable
        Entry block size : 2048
        Number of entries : 13
        First serial # : 1
        Last serial # : 13
        First time stamp : Wed Feb 29 01:59:27 2012
        Last time stamp : Mon Mar 5 19:29:28 2012


Kerberos Related File Information
--------------------------------------------
(Displays any missing files)

Ajoutez le principal de service audit au fichier keytab du KDC.
Vous pouvez ajouter le principal en tapant la commande kadmin.local sur le système KDC. Vous pouvez également ajouter le principal à distance en tapant la commande kadmin et en fournissant un mot de passe. Dans cet exemple, le système arstore exécute le KDC.
```
# kadmin -p audr/admin
kadmin: addprinc -randkey audit/arstore.example.com@EXAMPLE.COM
kadmin: ktadd audit/arstore.example.com@EXAMPLE.COM
```

Sur chaque système audité, ajoutez des clés.

Le récepteur et l'expéditeur doivent disposer de clés.

enigma # kclient
        .. Enter the Kerberos realm: EXAMPLE.COM
        .. KDC hostname for the above realm: arstore.example.com
        .. Will this client need service keys ? [y/n]: y

Configurez le service d'audit sur le serveur ARS.
- Pour créer un groupe qui accepte les enregistrements d'audit de n'importe quel système audité dans le domaine Kerberos, nommez un groupe de connexion.
```
# auditconfig -setremote group create Bank_A
```
  Bank_A est un groupe de connexion. Dans la mesure où l'attribut hosts n'est pas défini, ce groupe accepte toutes les connexions, ce qui signifie qu'il s'agit d'un groupe de caractères génériques. Dans le domaine Kerberos, tous les systèmes audités peuvent atteindre ce serveur ARS à condition que leur plug-in audit_remote soit correctement configuré.
- Pour limiter les connexions à ce groupe, indiquez les systèmes audités pouvant utiliser ce référentiel.
```
# auditconfig -setremote group Bank_A "hosts=enigma.example.com"
```
  Le groupe de connexion Bank_A accepte désormais uniquement les connexions à partir du système enigma. Une connexion depuis tout autre hôte est refusée.
- Pour limiter la taille d'un fichier d'audit de ce groupe, définissez une taille maximale.
```
# auditconfig -setremote group Bank_A "binfile_size=4GB"
# auditconfig -getremote
Audit Remote Server
  Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0;
Connection group: Bank_A (inactive)
  Attributes: binfile_dir=/var/audit;binfile_fsize=4GB;binfile_minfree=1;
  hosts=enigma.example.com;
```

Configurez le service d'audit sur le système audité.

Pour spécifier le serveur ARS, utilisez l'attribut p_hosts.

enigma # auditconfig -setplugin audit_remote active p_hosts=arstore.example.com
enigma # auditconfig -getplugin audit_remote
Plugin: audit_remote
      Attributes: p_retries=3;p_timeout=5;p_hosts=arstore.example.com;

Actualisez le service d'audit.
Le service d'audit lit la modification du plug-in d'audit lors de l'actualisation.
```
# audit -s
```
Le KDC gère désormais la connexion entre le système audité enigma et le serveur ARS.

Exemple 28-19 Transmission des enregistrements d'audit vers des emplacements de fichiers différents sur le même serveur ARS

Cet exemple complète l'exemple présenté dans la procédure. L'administrateur sépare les enregistrements d'audit par hôte sur le serveur ARS en créant deux groupes de connexion.

Les fichiers d'audit de audsys1 sont transmis au groupe de connexion Bank_A sur ce serveur ARS.

arstore # auditconfig  -setremote group create Bank_A
arstore # auditconfig -setremote group active Bank_A "hosts=audsys1"
     "hosts=audsys1;binfile_dir=/var/audit/audsys1;binfile_fsize=4M;"

Les fichiers d'audit de audsys2 sont transmis au groupe de connexion Bank_B.

arstore # auditconfig -setremote group create Bank_B
arstore # auditconfig -setremote group active Bank_B \
     "hosts=audsys2;binfile_dir=/var/audit/audsys2;binfile_fsize=4M;"

Pour simplifier la maintenance, l'administrateur définit les autres valeurs d'attribut de manière identique.

arstore # auditconfig -getremote
Audit Remote Server
      Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0;

Connection group: Bank_A
      Attributes: binfile_dir=/var/audit/audsys1;binfile_fsize=4M;binfile_minfree=1;
      hosts=audsys1

Connection group: Bank_B
      Attributes: binfile_dir=/var/audit/audsys2;binfile_fsize=4M;binfile_minfree=1;
      hosts=audsys2

Exemple 28-20 Placement du serveur ARS sur un système autre que le KDC

Dans cet exemple, l'administrateur place le serveur ARS sur un système autre que le KDC. Tout d'abord, l'administrateur crée et configure le KDC maître.

kserv # kdcmgr -a audr/admin -r EXAMPLE.COM create master
kserv # kadmin.local -p audr/admin
kadmin: addprinc -randkey audit/arstore.example.com@EXAMPLE.COM
kadmin: ktadd -t /tmp/krb5.keytab.audit audit/arstore.example.com@EXAMPLE.COM

Après avoir transmis le fichier /tmp/krb5.keytab.audit au serveur ARS de manière sécurisée, arstore, l'administrateur déplace le fichier vers l'emplacement approprié.

arstore # chown root:root krb5.keytab.audit
arstore # chmod 600 krb5.keytab.audit
arstore # mv krb5.keytab.audit /etc/krb5/krb5.keytab

Au lieu de réécrire le fichier, l'administrateur a également la possibilité d'utiliser la commande ktutil sur le serveur ARS pour fusionner le fichier krb5.keytab.audit du KDC avec les clés existantes du fichier /etc/krb5/krb5.keytab de arstore.

Enfin, l'administrateur génère les clés sur le système audité.

enigma # kclient
   .. Enter the Kerberos realm: EXAMPLE.COM
   .. KDC hostname for the above realm: kserv.example.com
   .. Will this client need service keys ? [y/n]: y

Configuration des journaux d'audit `syslog`

Vous pouvez demander au service d'audit de copier tout ou partie des enregistrements d'audit collectés dans la file d'attente de l'audit pour l'utilitaire syslog. Si vous enregistrez les résumés de type texte et de type données d'audit binaires, les données binaires fournissent un enregistrement d'audit complet, tandis que les résumés filtrent les données pour examen en temps réel.

Avant de commencer

Pour configurer le plug-in audit_syslog, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour configurer l'utilitaire syslog et créer le fichier auditlog, vous devez prendre le rôle root.

Sélectionnez les classes d'audit à envoyer au plug-in audit_syslog et activez le plug-in.
Remarque - Les classes d'audit p_flags doivent être présélectionnées en tant que valeurs par défaut du système ou dans les indicateurs d'audit d'un utilisateur ou d'un profil de droits. Les enregistrements ne sont pas collectés pour une classe qui n'est pas présélectionnée.
```
# auditconfig -setplugin audit_syslog active p_flags=lo,+as,-ss
```

Déterminez quelle instance de service system-log est en ligne.

# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default

Remarque - Si l'instance de service rsyslog est en ligne, modifiez le fichier rsyslog.conf.

Configurez l'utilitaire syslog.
1. Ajoutez une entrée audit.notice au fichier syslog.conf.
  L'entrée inclut l'emplacement du fichier journal.
```
# cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog
```
2. Créez le fichier journal.
```
# touch /var/adm/auditlog
```
3. Actualisez les informations de configuration du service system-log.
```
# svcadm refresh system-log:default
```
  Remarque - Actualisez l'instance de service system-log:rsyslog si le service rsyslog est en ligne.
Actualisez le service d'audit.
Le service d'audit lit les modifications apportées au plug-in d'audit lors de l'actualisation.
```
# audit -s
```
Archivez régulièrement les fichiers journaux syslog.
Le service d'audit peut générer une sortie volumineuse. Pour gérer les journaux, reportez-vous à la page de manuel logadm(1M).

Exemple 28-21 Spécification des classes d'audit pour la sortie syslog

Dans l'exemple suivant, l'utilitaire syslog collecte un sous-ensemble de classes d'audit présélectionnées. La classe pf est créée dans l'Exemple 28-10.

# auditconfig -setnaflags lo,na
# auditconfig -setflags lo,ss
# usermod -K audit_flags=pf:no jdoe
# auditconfig -setplugin audit_syslog active p_flags=lo,+na,-ss,+pf

Les arguments de la commande auditconfig demandent au système de recueillir tous les enregistrements d'audit de connexion/déconnexion, non attribuables et de modification de l'état du système. L'entrée de plug-in audit_syslog. demande à l'utilitaire syslog de recueillir toutes les connexions, les événements non attribuables ayant réussi et les modifications de l'état du système ayant échoué.

Pour l'utilisateur jdoe, l'utilitaire binaire collecte les appels à la commande pfexec ayant réussi et ayant échoué. L'utilitaire syslog collecte les appels à la commande pfexec ayant réussi.

Exemple 28-22 Stockage des enregistrements d'audit syslog sur un système distant

Vous pouvez changer l'entrée audit.notice du fichier syslog.conf afin qu'elle pointe vers un système distant. Dans cet exemple, le nom du système local est sys1.1. Le système distant est remote1.

sys1.1 # cat /etc/syslog.conf
…
audit.notice       @remote1

L'entrée audit.notice du fichier syslog.conf sur le système remote1 pointe vers le fichier journal.

remote1 # cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français)