Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Affichage des paramètres par défaut du service d'audit
Présélection des classes d'audit
Configuration des caractéristiques d'audit d'un utilisateur
Modification de la stratégie d'audit
Modification des contrôles de file d'attente d'audit
Configuration de l'alias de messagerie audit_warn
Modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Création de systèmes de fichiers ZFS pour les fichiers d'audit
Affectation de l'espace d'audit pour la piste d'audit
Envoi des fichiers d'audit à un référentiel distant
Configuration d'un référentiel distant pour les fichiers d'audit
Configuration des journaux d'audit syslog
Configuration du service d'audit dans les zones (tâches)
Configuration identique de toutes les zones pour l'audit
Configuration de l'audit par zone
Activation et désactivation du service d'audit (tâches)
Actualisation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Affichage des définitions d'enregistrement d'audit
Fusion des fichiers d'audit de la piste d'audit
Sélection des événements d'audit de la piste d'audit
Affichage du contenu des fichiers d'audit binaires
Nettoyage d'un fichier d'audit not_terminated
Contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Vérification de l'exécution de l'audit
Atténuation du volume des enregistrements d'audit produits
Audit de toutes les commandes par les utilisateurs
Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques
Mise à jour du masque de présélection des utilisateurs connectés
Suppression de l'audit d'événements spécifiques
Limitation de la taille des fichiers d'audit binaires
Compression des fichiers d'audit sur un système de fichiers dédié
Audit des connexions à partir d'autres systèmes d'exploitation
Le service d'audit est activé par défaut. Si la stratégie d'audit perzone est définie dans la zone globale, les administrateurs de zone peuvent activer, actualiser et désactiver le service d'audit dans leurs zones non globales.
Cette procédure met à jour le service d'audit lorsque vous avez modifié la configuration d'un plug-in d'audit après l'activation du service d'audit.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Control (contrôle d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# audit -s
Remarque - Lors de l'actualisation du service d'audit, tous les paramètres de configuration temporaires sont perdus. La stratégie d'audit et les contrôles de file d'attente permettent de définir des paramètres temporaires. Pour plus d'informations, reportez-vous à la page de manuel auditconfig(1M).
L'actualisation du service d'audit ne modifie pas les masques de processus existants. Pour réinitialiser explicitement le masque de présélection pour un processus existant, reportez-vous à la section Mise à jour du masque de présélection des utilisateurs connectés.
Exemple 28-25 Actualisation d'un service d'audit activé
Dans cet exemple, l'administrateur reconfigure l'audit, vérifie les modifications, puis actualise le service d'audit.
Tout d'abord, l'administrateur ajoute une stratégie temporaire.
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
Ensuite, l'administrateur spécifie les contrôles de file d'attente.
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Ensuite, l'administrateur spécifie les attributs de plug-in.
Pour le plug-in audit_binfile, l'administrateur supprime la valeur qsize.
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
Pour le plug-in audit_syslog, l'administrateur indique l'envoi des événements de connexion et de déconnexion et des exécutables qui ont échoué à syslog. La valeur de l'attribut qsize pour ce plug-in est définie sur 150.
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150
L'administrateur ne configure pas ou n'utilise pas le plug-in audit_remote .
Ensuite, l'administrateur actualise le service d'audit et vérifie la configuration.
La stratégie temporaire zonename n'est plus définie.
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
Les contrôles de file d'attente restent identiques.
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Le plug-in audit_binfile n'a pas une taille de file d'attente spécifiée. Le plug-in audit_syslog a une taille de file d'attente spécifiée.
# auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 50 ...
Cette procédure montre comment désactiver l'audit dans la zone globale et dans une zone non globale lorsque la stratégie d'audit perzone est définie. Une fois la stratégie perzone définie dans la zone globale, une zone non globale qui a activé l'audit continue à collecter les enregistrements d'audit pour toutes les réinitialisations de la zone globale et des zones non globales.
Avant de commencer
Pour désactiver ou activer le service d'audit, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Control (contrôle d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Pour plus d'informations, reportez-vous aux pages de manuel audit(1M) et auditd(1M).
# audit -t
Si la stratégie d'audit perzone n'est pas définie, cette commande désactive l'audit dans toutes les zones. Si la stratégie d'audit perzone est définie, les zones non globales ne sont pas affectées.
Si la stratégie d'audit perzone est définie, l'administrateur de zone non globale doit désactiver le service dans la zone non globale.
zone1 # audit -t
Cette procédure permet d'activer le service d'audit pour toutes les zones une fois le service désactivé par l'administrateur. Pour démarrer le service d'audit dans une zone non globale, reportez-vous à l'Exemple 28-26.
Avant de commencer
Pour désactiver ou activer le service d'audit, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Control (contrôle d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# audit -s
Pour plus d'informations, reportez-vous à la page de manuel audit(1M).
# auditconfig -getcond audit condition = auditing
Exemple 28-26 Activation de l'audit dans une zone non globale
Dans cet exemple, l'administrateur de zone active le service d'audit pour zone1 après avoir exécuté les actions suivantes :
L'administrateur de la zone globale définit la stratégie perzone dans la zone globale.
L'administrateur de la zone non globale configure le service d'audit et les personnalisations par utilisateur.
Ensuite, l'administrateur de zone active le service d'audit pour la zone.
zone1# audit -s