| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Affichage des paramètres par défaut du service d'audit
Présélection des classes d'audit
Configuration des caractéristiques d'audit d'un utilisateur
Modification de la stratégie d'audit
Modification des contrôles de file d'attente d'audit
Configuration de l'alias de messagerie audit_warn
Modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Création de systèmes de fichiers ZFS pour les fichiers d'audit
Affectation de l'espace d'audit pour la piste d'audit
Envoi des fichiers d'audit à un référentiel distant
Configuration d'un référentiel distant pour les fichiers d'audit
Configuration des journaux d'audit syslog
Configuration du service d'audit dans les zones (tâches)
Activation et désactivation du service d'audit (tâches)
Actualisation du service d'audit
Désactivation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Affichage des définitions d'enregistrement d'audit
Fusion des fichiers d'audit de la piste d'audit
Sélection des événements d'audit de la piste d'audit
Affichage du contenu des fichiers d'audit binaires
Nettoyage d'un fichier d'audit not_terminated
Contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Vérification de l'exécution de l'audit
Atténuation du volume des enregistrements d'audit produits
Audit de toutes les commandes par les utilisateurs
Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques
Mise à jour du masque de présélection des utilisateurs connectés
Suppression de l'audit d'événements spécifiques
Limitation de la taille des fichiers d'audit binaires
Compression des fichiers d'audit sur un système de fichiers dédié
Audit des connexions à partir d'autres systèmes d'exploitation
Le service d'audit effectue des audits sur la totalité du système, y compris les événements d'audit dans les zones. Un système doté de zones non globales peut auditer toutes les zones de manière identique, ou configurer l'audit par zone. Pour plus d'informations, reportez-vous à la section Planification de l'audit par zone.
Lorsque vous auditez les zones non globales de la même manière que vous auditez la zone globale, les administrateurs des zones non globales risquent de ne pas avoir accès aux enregistrements d'audit. L'administrateur de la zone globale peut également modifier les masques de présélection d'audit des utilisateurs dans les zones non globales.
Lorsque vous auditez les zones non globales séparément, les enregistrements d'audit sont visibles pour la zone non globale et pour la zone globale à partir du root de zone non globale.
Cette procédure permet d'auditer chaque zone de manière identique. Cette méthode est celle qui requiert le temps système le moins important de ressources en administration.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Effectuez les tâches de la section Configuration du service d'audit (liste des tâches), à l'exception des points suivants :
N'activez pas la stratégie d'audit perzone.
Définissez la stratégie zonename. Cette stratégie permet d'ajouter le nom de la zone à chaque enregistrement d'audit.
# auditconfig -setpolicy +zonename
Si vous avez modifié le fichier audit_class ou audit_event, copiez-le de l'une des deux façons suivantes :
Vous pouvez monter en loopback les fichiers.
Vous pouvez copier les fichiers.
La zone non globale doit être en cours d'exécution.
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone
add fs
set special=/etc/security/audit-file
set dir=/etc/security/audit-file
set type=lofs
add options [ro,nodevices,nosetuid]
commit
end
exit# zoneadm -z non-global-zone boot
Par la suite, si vous modifiez un fichier de configuration d'audit dans la zone globale, réinitialisez chaque zone pour actualiser les fichiers montés en loopback dans les zones non globales.
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
Par la suite, si vous modifiez l'un de ces fichiers dans la zone globale, vous devez copier le fichier modifié dans les zones non globales.
Les zones non globales sont auditées au redémarrage du service d'audit dans la zone globale ou lorsque les zones sont réinitialisées.
Exemple 28-23 Montage des fichiers de configuration d'audit en tant que montage loopback dans une zone
Dans cet exemple, l'administrateur système a modifié les fichiers audit_class, audit_event et audit_warn.
Le fichier audit_warn est lu dans la zone globale uniquement, de sorte qu'il n'a pas à être monté dans les zones non globales.
Sur ce système, machine1, l'administrateur a créé deux zones non globales, machine1–webserver et machine1–appserver. L'administrateur a terminé la modification des fichiers de configuration d'audit. Si l'administrateur modifie ultérieurement les fichiers, la zone doit être réinitialisée pour relire les montages en loopback.
# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver
add fs
set special=/etc/security/audit_class
set dir=/etc/security/audit_class
set type=lofs
add options [ro,nodevices,nosetuid]
commit
end
add fs
set special=/etc/security/audit_event
set dir=/etc/security/audit_event
set type=lofs
add options [ro,nodevices,nosetuid]
commit
end
exit
# zonecfg -z machine1-appserver
add fs
set special=/etc/security/audit_class
set dir=/etc/security/audit_class
set type=lofs
add options [ro,nodevices,nosetuid]
commit
end
...
exit
Lorsque les zones non globales sont réinitialisées, les fichiers audit_class et audit_event sont en lecture seule dans les zones.
Cette procédure permet aux administrateurs de zones distinctes de contrôler le service d'audit dans leur zone. Pour obtenir la liste complète des options de stratégie, reportez-vous à la page de manuel auditconfig(1M).
Avant de commencer
Pour configurer l'audit, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour activer le service d'audit, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Control (contrôle d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Remarque - Vous n'êtes pas obligé d'activer le service d'audit dans la zone globale.
En particulier, n'ajoutez pas la stratégie perzone ou ahlt à la zone non globale.
myzone# audit -s
Exemple 28-24 Désactivation de l'audit dans une zone non globale
Cet exemple fonctionne si la stratégie d'audit perzone est définie. L'administrateur de zone de la zone noaudit désactive l'audit pour cette zone.
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit
|