Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Affichage des paramètres par défaut du service d'audit
Présélection des classes d'audit
Configuration des caractéristiques d'audit d'un utilisateur
Modification de la stratégie d'audit
Modification des contrôles de file d'attente d'audit
Configuration de l'alias de messagerie audit_warn
Modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Création de systèmes de fichiers ZFS pour les fichiers d'audit
Affectation de l'espace d'audit pour la piste d'audit
Envoi des fichiers d'audit à un référentiel distant
Configuration d'un référentiel distant pour les fichiers d'audit
Configuration des journaux d'audit syslog
Configuration du service d'audit dans les zones (tâches)
Configuration identique de toutes les zones pour l'audit
Configuration de l'audit par zone
Activation et désactivation du service d'audit (tâches)
Actualisation du service d'audit
Désactivation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Affichage des définitions d'enregistrement d'audit
Fusion des fichiers d'audit de la piste d'audit
Sélection des événements d'audit de la piste d'audit
Affichage du contenu des fichiers d'audit binaires
Nettoyage d'un fichier d'audit not_terminated
Contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Vérification de l'exécution de l'audit
Atténuation du volume des enregistrements d'audit produits
Audit de toutes les commandes par les utilisateurs
Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques
Mise à jour du masque de présélection des utilisateurs connectés
Suppression de l'audit d'événements spécifiques
Limitation de la taille des fichiers d'audit binaires
Compression des fichiers d'audit sur un système de fichiers dédié
Audit des connexions à partir d'autres systèmes d'exploitation
Avant d'activer l'audit sur votre réseau, vous pouvez modifier les valeurs par défaut afin de répondre aux exigences en matière d'audit de votre site. Il est recommandé de personnaliser la configuration de l'audit autant que possible avant la connexion des premiers utilisateurs.
Si vous avez mis en oeuvre des zones, vous pouvez choisir d'auditer toutes les zones à partir de la zone globale ou les zones non globales une à une. Pour obtenir une présentation générale, reportez-vous à la section Audit et zones Oracle Solaris. Pour la planification, reportez-vous à la section Planification de l'audit par zone. Pour plus d'informations sur les procédures, reportez-vous à la section Configuration du service d'audit dans les zones (tâches).
La liste des tâches suivante présente les procédures de configuration de l'audit. Toutes les tâches sont facultatives.
|
Les commandes de cette procédure affichent la configuration d'audit en cours. Le résultat de cette procédure est pris d'un système non configuré.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit) ou Audit Control (contrôle d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo est l'indicateur pour la classe d'audit login/logout. Le format de sortie du masque est (success, failure).
Remarque - Pour afficher les événements qui sont affectés à une classe, et par conséquent, les événements qui sont en cours d'enregistrement, exécutez la commande auditrecord -c class.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
La stratégie active est la stratégie en cours, mais la valeur de la stratégie n'est pas stockée par le service d'audit. La stratégie configurée est enregistrée par le service d'audit, de sorte qu'elle est restaurée lorsque vous redémarrez le service d'audit.
$ auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
Le plug-in audit_binfile est actif par défaut.
$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Le contrôle de la file d'attente actif est celui qui est actuellement utilisé par le noyau. La chaîne no configured indique que le système utilise les valeurs par défaut.
Recherchez les utilisateurs, puis affichez la valeur d'attribut audit_flags de chaque utilisateur.
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ... # userattr audit_flags adoe # userattr audit_flags jdoe
Par défaut, les utilisateurs sont soumis à un audit pour les paramètres à l'échelle du système uniquement.
La commande userattr est décrite à la page de manuel userattr(1). Le mot-clé audit_flags est décrit à la page de manuel user_attr(4).
Présélectionnez les classes d'audit qui contiennent les événements que vous voulez surveiller. Les événements qui ne sont pas dans des classes présélectionnées ne sont pas enregistrés.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# auditconfig -getflags ...
# auditconfig -getnaflags ,,,
Pour obtenir une explication de la sortie, reportez-vous à la section Affichage des paramètres par défaut du service d'audit.
# auditconfig -setflags lo,ps,fw user default audit flags = ps,lo,fw(0x101002,0x101002)
Cette commande audite les événements des classes login/logout, process start/stop et file write pour en vérifier la réussite et l'échec.
Remarque - La commande auditconfig -setflags remplace la présélection actuelle, de sorte que vous devez spécifier toutes les classes à présélectionner.
La classe na contient des montages non attribuables, d'initialisation et de PROM, parmi d'autres événements.
# auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
lo et na sont les seuls arguments utiles de l'option -setnaflags.
Remarque - La commande auditconfig -setnaflags remplace la présélection actuelle, de sorte que vous devez spécifier toutes les classes à présélectionner.
La présélection de classes par utilisateur plutôt que par système permet parfois de réduire l'impact de l'audit sur les performances du système. En outre, il peut être utile d'auditer des utilisateurs spécifiques de manière légèrement différente du système.
Les présélections de classe d'audit pour chaque utilisateur sont spécifiées par l'attribut de sécurité audit_flags. Ces valeurs spécifiques à l'utilisateur, conjointement aux classes présélectionnées pour le système, déterminent le masque d'audit de l'utilisateur, comme décrit dans la section Caractéristiques de l'audit de processus.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Par exemple, vous pouvez créer un profil de droits qui définit les droits d'un sous-ensemble de vos utilisateurs. Les utilisateurs auxquels ce profil de droits est affecté font l'objet d'un audit identique.
# usermod -K audit_flags=fw:no jdoe
Le format du mot-clé audit_flags est always-audit:never-audit.
Répertorie les classes d'audit qui font l'objet d'un audit pour cet utilisateur. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^). Les classes qui sont ajoutées aux classes à l'échelle du système ne sont pas précédées d'un caret.
Répertorie les classes d'audit qui ne font jamais l'objet d'un audit pour l'utilisateur, même si ces événements d'audit sont audités à l'échelle du système. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^).
Pour spécifier plusieurs classes d'audit, séparez les classes par une virgule. Pour plus d'informations, reportez-vous à la page de manuel audit_flags(5).
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
Lorsque vous affectez le profil de droits Audited System Administrator (administrateur de système audité) à un utilisateur ou à un rôle, celui-ci fait l'objet d'un audit pour ces indicateurs, en fonction de l'ordre de recherche décrit à la section Ordre de recherche pour les attributs de sécurité affectés.
Exemple 28-1 Modification des événements à auditer pour un utilisateur
Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Aucun utilisateur, sauf l'administrateur, n'est connecté.
Pour réduire l'impact de l'événement d'audit AUE_PFEXEC sur les ressources système, l'administrateur n'effectue pas d'audit de cet événement au niveau du système. Au lieu de cela, l'administrateur présélectionne la classe pf pour un utilisateur, jdoe. La classe pf est créée dans l'Exemple 28-10.
# usermod -K audit_flags=pf:no jdoe
La commande userattr affiche l'ajout.
# userattr audit_flags jdoe pf:no
Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
Exemple 28-2 Modification de l'exception de présélection d'audit pour un utilisateur
Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Aucun utilisateur, sauf l'administrateur, n'est connecté.
L'administrateur décide de ne pas collecter les événements ss qui ont échoué pour l'utilisateur jdoe.
# usermod -K audit_flags=^-ss:no jdoe
La commande userattr affiche l'exception.
# userattr audit_flags jdoe ^-ss:no
Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
Exemple 28-3 Audit des utilisateurs sélectionnés, pas d'audit à l'échelle du système
Dans cet exemple, les activités de connexion et de rôle de quatre utilisateurs sélectionnés sont auditées sur ce système. Aucune classe d'audit n'est présélectionnée pour le système.
Tout d'abord, l'administrateur supprime tous les indicateurs à l'échelle du système.
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
Ensuite, il présélectionne deux classes d'audit pour les quatre utilisateurs. La classe pf est créée dans l'Exemple 28-10.
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
Ensuite, l'administrateur présélectionne la classe pf pour le rôle root.
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
Pour continuer d'enregistrer l'intrusion injustifiée, l'administrateur ne change pas l'audit des connexions non attribuables.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
Exemple 28-4 Suppression des indicateurs d'audit d'un utilisateur
Dans l'exemple suivant, l'administrateur supprime tous les indicateurs d'audit spécifiques à l'utilisateur. Les processus existants d'utilisateurs qui sont actuellement connectés continuent à faire l'objet d'un audit.
L'administrateur exécute la commande usermod avec le mot-clé audit_flags défini sur aucune valeur.
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
Ensuite, l'administrateur vérifie la suppression.
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoe
Exemple 28-5 Création d'un profil de droits pour un groupe d'utilisateurs
L'administrateur souhaite que tous les profils de droits d'administration du site auditent explicitement la classe pf. Pour chaque profil de droits à affecter, l'administrateur crée une version spécifique au site dans LDAP, qui inclut les indicateurs d'audit.
Tout d'abord, l'administrateur clone un profil de droits existant, puis change le nom et ajoute des indicateurs d'audit.
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
Après avoir reproduit cette procédure pour chaque profil de droits à utiliser, l'administrateur répertorie les informations dans le profil Wifi Management (gestion Wifi).
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf
Il peut être utile de modifier la stratégie d'audit par défaut pour enregistrer des informations détaillées sur les commandes auditées, ajouter un nom de zone à chaque enregistrement ou satisfaire aux exigences d'autres sites en matière de sécurité.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
$ auditconfig -getpolicy ...
Pour obtenir une explication de la sortie, reportez-vous à la section Affichage des paramètres par défaut du service d'audit.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
Remarque - Les options de stratégie perzone et ahlt ne peuvent être définies que dans la zone globale. Pour que les compromis utilisent une option de stratégie particulière, reportez-vous à la section Assimilation des concepts de stratégie d'audit.
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
Facultatif. Crée une stratégie temporaire ou active. Vous pouvez définir une stratégie temporaire à des fins de débogage ou de test.
Une politique temporaire reste en vigueur jusqu'à ce que le service d'audit soit actualisé ou que la stratégie soit modifiée par la commande auditconfig -setpolicy.
La valeur prefix + ajoute la liste des stratégies à la stratégie actuelle. La valeur prefix - supprime la liste des stratégies de la stratégie actuelle. Sans un préfixe, la stratégie d'audit est réinitialisée. Cette option vous permet de conserver les stratégies d'audit en cours.
Sélectionne la stratégie à activer ou désactiver.
Exemple 28-6 Définition de l'option de stratégie d'audit ahlt
Dans cet exemple, la sécurité stricte du site requiert la stratégie ahlt.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
Le signe plus (+) avant la stratégie ahlt ajoute la stratégie aux paramètres de stratégie en cours. Sans le signe plus, la stratégie ahlt remplace toutes les stratégies d'audit actuelles.
Exemple 28-7 Définition d'une stratégie d'audit temporaire
Dans cet exemple, la stratégie d'audit ahlt est configurée. A des fins de débogage, l'administrateur ajoute la stratégie d'audit trail à la stratégie active (+trail) temporairement (-t). La stratégie trail contribue à la restauration des pistes d'audit endommagées.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
L'administrateur désactive la stratégie trail lorsque le débogage est terminé.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
L'actualisation du service d'audit à l'aide de la commande audit -s supprime également cette stratégie temporaire, ainsi que d'autres valeurs temporaires dans le service d'audit. Pour obtenir des exemples d'autres valeurs temporaires, reportez-vous à la section Modification des contrôles de file d'attente d'audit.
Exemple 28-8 Définition de la stratégie d'audit perzone
Dans cet exemple, la stratégie d'audit perzone est ajoutée à la stratégie existante dans la zone globale. Le paramètre de stratégie perzone est stocké en tant que propriété permanente, de sorte que la stratégie perzone est en vigueur au cours de la session et au redémarrage du service d'audit. Pour les zones, la stratégie est disponible à la prochaine initialisation de zone
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cnt
Le service d'audit fournit des valeurs par défaut pour les paramètres de file d'attente d'audit. Vous pouvez examiner, modifier définitivement et modifier temporairement ces valeurs à l'aide de la commande auditconfig.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
$ auditconfig -getqctrl ...
Pour obtenir une explication de la sortie, reportez-vous à la section Affichage des paramètres par défaut du service d'audit.
Pour obtenir des exemples et une description des contrôles de file d'attente d'audit, reportez-vous à la page de manuel auditconfig(1M).
Pour modifier certains ou tous les contrôles de file d'attente d'audit, utilisez l'option -setqctrl.
# auditconfig [ -t ] -setqctrl hiwater lowater bufsz interval
Par exemple, définissez la valeur interval sur 10 sans définir d'autres contrôles.
# auditconfig -setqctrl 0 0 0 10
Pour modifier un contrôle de file d'attente d'audit donné, spécifiez son option. L'option -setqdelay est l'équivalent de -setqctrl 0 0 0 interval, comme dans # auditconfig -setqdelay 10.
# auditconfig [ -t ] -setqhiwater value # auditconfig [ -t ] -setqlowater value # auditconfig [ -t ] -setqbufsz value # auditconfig [ -t ] -setqdelay value
Exemple 28-9 Rétablissement de la valeur par défaut d'un contrôle de file d'attente d'audit
L'administrateur définit tous les contrôles de file d'attente d'audit, puis modifie la valeur lowater dans le référentiel par la valeur par défaut.
# auditconfig -setqctrl 200 5 10216 10 # auditconfig -setqctrl 200 0 10216 10 configured audit queue hiwater mark (records) = 200 no configured audit queue lowater mark configured audit queue buffer size (bytes) = 10216 configured audit queue delay (ticks) = 10 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 5 active audit queue buffer size (bytes) = 10216 active audit queue delay (ticks) = 10
Par la suite, l'administrateur définit la valeur lowater par la valeur par défaut pour la session en cours.
# auditconfig -setqlowater 10 # auditconfig -getqlowater configured audit queue lowater mark (records) = 10 active audit queue lowater mark (records) = 10
Le script /etc/security/audit_warn génère un message pour informer l'administrateur d'incidents d'audit qui nécessitent son attention. Vous pouvez personnaliser le script et envoyer le message à un compte autre que root.
Si la stratégie perzone est définie, l'administrateur de la zone non globale doit configurer l'alias de messagerie audit_warn dans la zone non globale.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc/security/audit_warn . Par défaut, seul le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Procédez de l'une des manières suivantes :
OPTION 1 : remplacez l'alias de messagerie audit_warn par un autre compte de messagerie dans le script audit_warn.
Remplacez l'alias de messagerie audit_warn dans la ligne ADDRESS du script par une autre adresse :
#ADDRESS=audit_warn # standard alias for audit alerts ADDRESS=audadmin # role alias for audit alerts
Remarque - Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
OPTION 2 : redirigez l'e-mail audit_warn vers un autre compte de messagerie.
Ajoutez l'alias de messagerie audit_warn au fichier d'alias de messagerie approprié. Vous pouvez ajouter l'alias au fichier local /etc/mail/aliases ou à la base de données mail_aliases de l'espace de noms. L'entrée /etc/mail/aliases doit ressembler à ce qui suit si les comptes de messagerie root et audadmin ont été ajoutés en tant que membres de l'alias de messagerie audit_warn :
audit_warn: root,audadmin
Ensuite, exécutez la commande newaliases pour reconstruire la base de données d'accès aléatoire pour le fichier alias.
# newaliases /etc/mail/aliases: 14 aliases, longest 10 bytes, 156 bytes total
Lorsque vous créez votre propre classe d'audit, vous pouvez y placer uniquement les événements que vous souhaitez auditer pour votre site. Cette stratégie peut réduire le nombre d'enregistrements qui sont collectés ainsi que le bruit de la piste d'audit.
Lorsque vous ajoutez la classe sur un seul système, copiez la modification sur tous les systèmes audités. Il est préférable de créer les classes d'audit avant la connexion des premiers utilisateurs.
Remarque - Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Avant de commencer
Choisissez des bits libres pour votre entrée unique. Vérifiez quels bits sont disponibles pour l'usage par des clients dans le fichier /etc/security/fichier audit_class.
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc/security/audit_class. Par défaut, seul le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# cp /etc/security/audit_class /etc/security/audit_class.orig
Chaque entrée possède le format suivant :
0x64bitnumber:flag:description
Pour une description des champs, reportez-vous à la page de manuel audit_class(4). Pour obtenir la liste des classes existantes, consultez le fichier /etc/security/audit_class.
Astuce - Les fichiers de configuration d'audit d'Oracle Solaris vous permettent de créer votre propre package contenant ces fichiers et de remplacer les packages Oracle Solaris par vos fichiers personnalisés par rapport au site. Lorsque vous définissez l'attribut preserve sur true dans votre package, les sous-commandes pkg, telles que verify, fix, revert, etc., sont exécutées par rapport à vos packages. Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5).
Exemple 28-10 Création d'une nouvelle classe d'audit
Cet exemple crée une classe pour contenir les commandes d'administration exécutées dans le cadre d'un rôle. L'entrée ajoutée au fichier audit_class se présente comme suit :
0x0100000000000000:pf:profile command
L'entrée crée la nouvelle classe d'audit pf. L'Exemple 28-11 remplit la nouvelle classe d'audit.
Erreurs fréquentes
Si vous avez personnalisé le fichier audit_class, assurez-vous que tous les indicateurs d'audit qui sont assignés directement à des utilisateurs ou des profils de droits sont cohérents avec les nouvelles classes d'audit. Des erreurs se produisent lorsqu'une valeur audit_flags n'est pas un sous-ensemble du fichier audit_class.
Vous pouvez être amené à modifier l'appartenance à une classe d'un événement d'audit pour réduire la taille d'une classe d'audit ou pour placer l'événement dans une classe à part.
Attention - Ne commentez jamais les événements dans le fichier audit_event. Ce fichier est utilisé par la commande praudit binaire pour lire les fichiers d'audit binaires. Les fichiers d'audit archivés peuvent contenir des événements répertoriés dans le fichier. |
Lorsque vous reconfigurez les mappages événements-classes d'audit d'un système, copiez la modification sur tous les systèmes audités. Il est vivement conseillé de modifier les mappages événements-classes avant que les premiers utilisateurs ne se connectent.
Remarque - Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc/security/audit_event. Par défaut, seul le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# cp /etc/security/audit_event /etc/security/audit_event.orig
Chaque entrée possède le format suivant :
number:name:description:class-list
ID de l'événement d'audit.
Nom de l'événement d'audit.
En règle générale, l'appel système ou l'exécutable qui déclenche la création d'un enregistrement d'audit.
Liste de classes d'audit séparées par des virgules.
Astuce - Les fichiers de configuration d'audit d'Oracle Solaris vous permettent de créer votre propre package contenant ces fichiers et de remplacer les packages Oracle Solaris par vos fichiers personnalisés par rapport au site. Lorsque vous définissez l'attribut preserve sur true dans votre package, les sous-commandes pkg, telles que verify, fix, revert, etc., sont exécutées par rapport à vos packages. Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5).
Exemple 28-11 Mappage d'événements d'audit existants sur une nouvelle classe
Dans cet exemple, un événement d'audit existant est mappé à la nouvelle classe créée dans l'Exemple 28-10. Par défaut, l'événement d'audit AUE_PFEXEC est mappé à plusieurs classes d'audit. En créant la nouvelle classe, l'administrateur peut auditer les événements AUE_PFEXEC sans auditer les événements dans les autres classes.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)