| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Affichage des paramètres par défaut du service d'audit
Présélection des classes d'audit
Configuration des caractéristiques d'audit d'un utilisateur
Modification de la stratégie d'audit
Modification des contrôles de file d'attente d'audit
Configuration de l'alias de messagerie audit_warn
Modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Création de systèmes de fichiers ZFS pour les fichiers d'audit
Affectation de l'espace d'audit pour la piste d'audit
Envoi des fichiers d'audit à un référentiel distant
Configuration d'un référentiel distant pour les fichiers d'audit
Configuration des journaux d'audit syslog
Configuration du service d'audit dans les zones (tâches)
Configuration identique de toutes les zones pour l'audit
Configuration de l'audit par zone
Activation et désactivation du service d'audit (tâches)
Actualisation du service d'audit
Désactivation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Affichage des définitions d'enregistrement d'audit
Fusion des fichiers d'audit de la piste d'audit
Sélection des événements d'audit de la piste d'audit
Affichage du contenu des fichiers d'audit binaires
Nettoyage d'un fichier d'audit not_terminated
Contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Vérification de l'exécution de l'audit
Atténuation du volume des enregistrements d'audit produits
Audit de toutes les commandes par les utilisateurs
Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques
Mise à jour du masque de présélection des utilisateurs connectés
Suppression de l'audit d'événements spécifiques
Limitation de la taille des fichiers d'audit binaires
Compression des fichiers d'audit sur un système de fichiers dédié
Audit des connexions à partir d'autres systèmes d'exploitation
Cette section couvre différents messages d'erreur et préférences de l'audit et décrit l'audit proposé par d'autres outils. Ces procédures peuvent vous aider à enregistrer les événements d'audit requis et à résoudre les problèmes d'audit.
La liste des tâches suivante présente les procédures de dépannage de l'audit.
|
L'audit est activé par défaut. Si vous croyez que l'audit n'a pas été désactivé, alors qu'aucun enregistrement d'audit n'est envoyé au plug-in actif, effectuez la procédure suivante pour isoler le problème.
Avant de commencer
Pour modifier un fichier système, vous devez disposer de l'autorisation solaris.admin.edit/ path-to-system-file. Par défaut, le rôle root dispose de cette autorisation. Pour configurer l'audit, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit).
Choisissez l'une des méthodes suivantes :
La liste suivante indique que l'audit n'est pas en cours d'exécution :
# auditconfig -getcond audit condition = noaudit
La liste suivante indique que l'audit est en cours d'exécution :
# auditconfig -getcond audit condition = auditing
La liste suivante indique que l'audit n'est pas en cours d'exécution :
# svcs -x auditd svc:/system/auditd:default (Solaris audit daemon) State: disabled since Sun Oct 10 10:10:10 2010 Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: auditd(1M) See: audit(1M) See: auditconfig(1M) See: audit_flags(5) See: audit_binfile(5) See: audit_syslog(5) See: audit_remote(5) See: /var/svc/log/system-auditd:default.log Impact: This service is not running.
La liste suivante indique que le service d'audit est en cours d'exécution :
# svcs auditd STATE STIME FMRI online 10:10:10 svc:/system/auditd:default
Si le service d'audit n'est pas activé, activez-le. Pour connaître la procédure, reportez-vous à la section Activation du service d'audit.
# audit -v audit: no active plugin found
Si aucun plug-in n'est actif, activez-en un.
# auditconfig -setplugin audit_binfile active # audit -v configuration ok
Par exemple, la liste d'indicateurs suivante contient la classe pf, que le logiciel Oracle Solaris n'a pas fourni :
# auditconfig -getflags active user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000) configured user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000)
Pour obtenir une description de la création de la classe pf, reportez-vous à la section Ajout d'une classe d'audit.
La classe d'audit doit être définie et son masque doit être unique.
# grep pf /etc/security/audit_classVerify class exists 0x0100000000000000:pf:profile # grep 0x0100000000000000 /etc/security/audit_classEnsure mask is unique 0x0100000000000000:pf:profile
Remplacez un masque qui n'est pas unique. Si la classe n'est pas définie, définissez-la. Sinon, exécutez la commande auditconfig -setflags avec les valeurs valides pour réinitialiser les indicateurs actuels.
Utilisez l'une des méthodes suivantes :
# auditconfig -lsevent | egrep " pf|,pf|pf," AUE_PFEXEC 116 pf execve(2) with pfexec enabled
# auditrecord -c pf List of audit events assigned to pf class
Si des événements ne sont pas affectés à la classe, affectez-y les événements appropriés.
Le script audit_warn envoie des messages d'alerte à l'alias de messagerie audit_warn. En l'absence d'un alias configuré correctement, les messages sont envoyés au compte root.
La sortie de la commande svcs -s auditd indique le chemin d'accès complet aux journaux d'audit que le service d'audit produit. Pour obtenir un exemple, reportez-vous à la liste de l'Étape 1.
Le script audit_warn écrit les messages daemon.alert dans le fichier /var/log/syslog.
Le fichier /var/adm/messages peut contenir des informations.
# audit -s
Une fois que vous avez déterminé les événements à auditer sur votre site, utilisez les suggestions suivantes pour créer des fichiers d'audit contenant uniquement les informations dont vous avez besoin.
Avant de commencer
Pour présélectionner les classes d'audit et définir la stratégie d'audit, le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été affecté. Pour modifier un fichier système, vous devez disposer de l'autorisation solaris.admin.edit/path-to-system-file. Par défaut, le rôle root dispose de cette autorisation. Pour affecter les indicateurs d'audit aux utilisateurs, rôles et profils de droits, vous devez prendre le rôle root.
Evitez en particulier d'ajouter des événements et des jetons d'audit à la piste d'audit. Les stratégies suivantes augmentent la taille de la piste d'audit.
Stratégie arge : ajoute des variables d'environnement aux événements d'audit execv. Si les événements d'audit execv peuvent être intensifs, l'ajout de variables à l'enregistrement d'audit ne l'est pas.
Stratégie argv : ajoute des paramètres de commande aux événements d'audit execv. Si les événements d'audit execv peuvent être intensifs, l'ajout des paramètres de commande à l'enregistrement d'audit ne l'est pas.
Stratégie public : si des événements de fichier sont en cours d'audit, ajoute un événement à la piste d'audit chaque fois qu'un événement auditable se produit dans un objet public. Les classes de fichier comprennent fa, fc, fd, fm, fr, fw et cl. Pour la définition d'un fichier public, reportez-vous à la section Terminologie et concepts de l'audit.
Stratégie path : ajoute un jeton path aux événements d'audit qui comprennent un jeton path facultatif.
Stratégie group : ajoute un jeton group aux événements d'audit qui comprennent un jeton newgroups facultatif.
Stratégie seq : ajoute un jeton sequence à chaque événement d'audit.
Stratégie trail : ajoute un jeton trailer à chaque événement d'audit.
Stratégie windata_down : sur un système configuré avec Trusted Extensions, ajoute les événements lorsque les informations dans une fenêtre étiquetée sont réduites.
Stratégie windata_up : sur un système configuré avec Trusted Extensions, ajoute les événements lorsque les informations dans une fenêtre étiquetée sont détaillées.
Stratégie zonename : ajoute le nom de zone à chaque événement d'audit. Si la zone globale est la seule zone configurée, ajoute la chaîne zone, global à chaque événement d'audit.
L'enregistrement d'audit suivant montre l'utilisation de l'instruction de la commande ls. La classe ex est auditée et la stratégie par défaut est en cours d'utilisation :
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1 return,success,0
Ci-dessous, le même enregistrement lorsque toutes les stratégies sont activées :
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl, ... path,/lib/ld.so.1 attribute,100755,root,bin,21,393073,18446744073709551615 subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1 group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon return,success,0 zone,global sequence,197 trailer,1578
Et n'envoyez pas ces événements d'audit au plug-in audit_binfile ou audit_remote. Cette stratégie fonctionne uniquement si vous n'êtes pas obligé de conserver des enregistrements binaires des événements d'audit que vous envoyez aux journaux syslog.
Diminuez l'audit pour l'ensemble des utilisateurs en réduisant le nombre de classes d'audit qui font l'objet d'un audit à l'échelle du système.
Utilisez le mot-clé audit_flags à la commande roleadd, rolemod, useradd et usermod afin d'auditer les événements pour des utilisateurs et des rôles spécifiques. Pour obtenir des exemples, reportez-vous à l'Exemple 28-21 et à la page de manuel usermod(1M).
Utilisez les propriétés always_audit et never_audit de la commande profiles afin d'auditer les événements pour des profils de droits spécifiques. Pour plus d'informations, reportez-vous à la page de manuel profiles(1).
Remarque - A l'instar d'autres attributs de sécurité, les indicateurs d'audit sont affectés par ordre de recherche. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour les attributs de sécurité affectés.
Vous pouvez créer des classes d'audit sur votre site. Dans ces classes, placez uniquement les événements d'audit qu'il vous faut surveiller. Pour connaître cette procédure, reportez-vous à la section Ajout d'une classe d'audit.
Remarque - Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Dans le cadre de leur stratégie de sécurité, certains sites nécessitent des enregistrements d'audit de toutes les commandes exécutées par les rôles d'administration et le compte root. Certains sites peuvent nécessiter des enregistrements d'audit pour toutes les commandes exécutées par tous les utilisateurs. En outre, les sites peuvent nécessiter que les arguments de commande et l'environnement soient enregistrés.
Avant de commencer
Pour présélectionner les classes d'audit et définir la stratégie d'audit, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour affecter les indicateurs d'audit aux utilisateurs, rôles et profils de droits, vous devez prendre le rôle root.
La classe ex audite tous les appels des fonctions exec() et execve().
La classe lo audite les connexions, déconnexions et blocages d'écran. La sortie suivante répertorie tous les événements des classes ex et lo.
% auditconfig -lsevent | grep " lo " AUE_login 6152 lo login - local AUE_logout 6153 lo logout AUE_telnet 6154 lo login - telnet AUE_rlogin 6155 lo login - rlogin AUE_rshd 6158 lo rsh access AUE_su 6159 lo su AUE_rexecd 6162 lo rexecd AUE_passwd 6163 lo passwd AUE_rexd 6164 lo rexd AUE_ftpd 6165 lo ftp access AUE_ftpd_logout 6171 lo ftp logout AUE_ssh 6172 lo login - ssh AUE_role_login 6173 lo role login AUE_newgrp_login 6212 lo newgrp login AUE_admin_authenticate 6213 lo admin login AUE_screenlock 6221 lo screenlock - lock AUE_screenunlock 6222 lo screenlock - unlock AUE_zlogin 6227 lo login - zlogin AUE_su_logout 6228 lo su logout AUE_role_logout 6229 lo role logout AUE_smbd_session 6244 lo smbd(1m) session setup AUE_smbd_logoff 6245 lo smbd(1m) session logoff AUE_ClientConnect 9101 lo client connection to x server AUE_ClientDisconnect 9102 lo client disconn. from x server % auditconfig -lsevent | egrep " ex |,ex |ex," AUE_EXECVE 23 ex,ps execve(2)
Dans l'exemple suivant, root est un rôle. Le site a créé trois rôles, sysadm, auditadm et netadm. Tous les rôles sont soumis à un audit pour la réussite et l'échec d'événements dans les classes ex et lo.
# rolemod -K audit_flags=lo,ex:no root # rolemod -K audit_flags=lo,ex:no sysadm # rolemod -K audit_flags=lo,ex:no auditadm # rolemod -K audit_flags=lo,ex:no netadm
# auditconfig -setflags lo,ex
La sortie se présente de la manière suivante :
header,129,2,AUE_EXECVE,,mach1,2010-10-14 12:17:12.616 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2486,50036632,82 0 mach1 return,success,0
# auditconfig -setpolicy +argv
Le jeton exec_args enregistre les arguments de commande :
header,151,2,AUE_EXECVE,,mach1,2010-10-14 12:26:17.373 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security subject,jdoe,root,root,root,root,2494,50036632,82 0 mach1 return,success,0
# auditconfig -setpolicy +arge
Le jeton exec_env enregistre l'environnement de commande :
header,1460,2,AUE_EXECVE,,mach1,2010-10-14 12:29:39.679 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl,...,_=/usr/bin/ls subject,jdoe,root,root,root,root,2502,50036632,82 0 mach1 return,success,0
Si vous avez l'intention de consigner les écritures d'un nombre limité de fichiers, par exemple, /etc/passwd et les fichiers du répertoire /etc/default, utilisez la commande auditreduce pour localiser les fichiers.
Avant de commencer
Le rôle root peut effectuer toutes les tâches de cette procédure.
Si des droits d'administration sont répartis dans votre organisation, tenez compte des éléments suivants :
Un administrateur disposant du profil de droits Audit Configuration (configuration d'audit) peut exécuter la commande auditconfig.
Un administrateur disposant du profil de droits Audit Review (vérification d'audit) peut exécuter la commande auditreduce.
Seul le rôle root peut attribuer des indicateurs d'audit.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
L'ajout de la classe aux indicateurs d'audit d'un utilisateur ou d'un rôle génère moins d'enregistrements que si vous ajoutez la classe au masque de présélection d'audit à l'échelle du système. Effectuez l'une des étapes suivantes :
# rolemod -K audit_flags=fw:no root # rolemod -K audit_flags=fw:no sysadm # rolemod -K audit_flags=fw:no auditadm # rolemod -K audit_flags=fw:no netadm
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,fw user default audit flags = lo,fw(0x1002,0x1002)
L'audit des réussites génère un nombre inférieur d'enregistrements que l'audit des échecs et des réussites. Effectuez l'une des étapes suivantes :
# rolemod -K audit_flags=+fw:no root # rolemod -K audit_flags=+fw:no sysadm # rolemod -K audit_flags=+fw:no auditadm # rolemod -K audit_flags=+fw:no netadm
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,+fw user default audit flags = lo,+fw(0x1002,0x1000)
# auditconfig -getflags active user default audit flags = lo,fw(0x1002,0x1002) configured user default audit flags = lo,fw(0x1002,0x1002) # rolemod -K audit_flags=^-fw:no root # rolemod -K audit_flags=^-fw:no sysadm # rolemod -K audit_flags=^-fw:no auditadm # rolemod -K audit_flags=^-fw:no netadm
Les indicateurs à l'échelle du système ne sont toujours pas modifiés, mais le masque de présélection pour ces quatre rôles est modifié.
# auditconfig -getflags active user default audit flags = lo,fw(0x1002,0x1000) configured user default audit flags = lo,fw(0x1002,0x1000)
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
La commande auditreduce effectue la recherche dans la piste d'audit pour toutes les instances de l'argument file. Cette commande crée un fichier binaire avec le suffixe filechg qui contient tous les enregistrements incluant le chemin d'accès aux fichiers concernés. Reportez-vous à la page de manuel auditreduce(1M) pour plus d'informations sur la syntaxe de l'option -o file=chemin.
# praudit *filechg
Vous voulez que les utilisateurs qui sont déjà connectés fassent l'objet d'un audit pour les modifications apportées au masque de présélection d'audit à l'échelle du système.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour fermer les sessions utilisateur, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Process management (gestion de processus). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Deux options s'offrent à vous : Vous pouvez fermer les sessions existantes ou utiliser la commande auditconfig pour mettre à jour les masques de présélection.
Les utilisateurs peuvent se déconnecter, puis se reconnecter. Ou bien, dans un rôle auquel est attribué le profil de droits Process Management (gestion de processus), vous pouvez mettre fin manuellement aux sessions actives. La nouvelle session va hériter du nouveau masque présélection. Toutefois, l'arrêt des sessions utilisateurs n'est pas très pratique.
Dans cet exemple, supposons que vous avez modifié le masque de présélection d'audit à l'échelle du système, lo, en lo,ex.
# auditconfig -setflags lo,ex
# who -a jdoe - vt/2 Jan 25 07:56 4:10 1597 (:0) jdoe + pts/1 Jan 25 10:10 . 1706 (:0.0) ... jdoe + pts/2 Jan 25 11:36 3:41 1706 (:0.0)
# auditconfig -getpinfo 1706 audit id = jdoe(1234) process preselection mask = lo(0x1000,0x1000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 103203403
# auditconfig -setpmask 1706 lo,ex /* for this process */ # auditconfig -setumask jdoe lo,ex /* for this user */ # auditconfig -setsmask 103203403 lo,ex /* for this session */
Par exemple, vérifiez un processus qui existait avant la modification du masque.
# auditconfig -getpinfo 1706 audit id = jdoe(1234) process preselection mask = ex,lo(0x40001000,0x40001000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 103203403
Pour des raisons de maintenance, il arrive parfois qu'un site veuille empêcher les événements d'être soumis à un audit.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Remarque - Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Par exemple, les événements 26 et 27 appartiennent à la classe pm.
## audit_event file ... 25:AUE_VFORK:vfork(2):ps 26:AUE_SETGROUPS:setgroups(2):pm 27:AUE_SETPGRP:setpgrp(2):pm 28:AUE_SWAPON:swapon(2):no ...
Modifiez ces événements pour la classe no.
## audit_event file ... 25:AUE_VFORK:vfork(2):ps 26:AUE_SETGROUPS:setgroups(2):no 27:AUE_SETPGRP:setpgrp(2):no 28:AUE_SWAPON:swapon(2):no ...
Si la classe pm est actuellement en cours d'audit, les sessions existantes sont toujours les événements d'audit 26 et 27. Pour que ces événements ne soient plus soumis à un audit, vous devez mettre à jour les masques de présélection des utilisateurs en suivant les instructions décrites dans la section Mise à jour du masque de présélection des utilisateurs connectés.
 | Attention - Ne commentez jamais les événements dans le fichier audit_event. Ce fichier est utilisé par la commande praudit binaire pour lire les fichiers d'audit binaires. Les fichiers d'audit archivés peuvent contenir des événements répertoriés dans le fichier. |
# auditconfig -conf Configured 283 kernel events.
Les fichiers d'audit binaires augmentent sans limite. Pour faciliter la tâche de l'archivage et de la recherche, vous pouvez être amené à limiter la taille. Vous pouvez également créer de plus petits fichiers binaires à partir du fichier d'origine.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit) pour définir l'attribut p_fsize. Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Review (vérification d'audit) pour utiliser la commande auditreduce. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Pour obtenir une description de l'attribut p_fsize , reportez-vous à la section OBJECT ATTRIBUTES de la page de manuel audit_binfile(5).
Reportez-vous à l'Exemple 28-14.
Les options auditreduce -minuscules recherchent des enregistrements spécifiques.
Les options auditreduce -majuscules écrivent vos sélections vers un fichier. Pour plus d'informations, reportez-vous à la page de manuel auditreduce(1M). Reportez-vous également à la section Gestion des enregistrements d'audit sur les systèmes locaux (tâches).
Les fichiers d'audit peuvent devenir très volumineux. Vous pouvez définir une limite supérieure à la taille d'un fichier, comme illustré dans l'Exemple 28-14. Dans cette procédure, vous réduisez la taille par compression.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant des profils de droits ZFS File System Management (gestion de système de fichiers ZFS) et ZFS Storage Management (gestion de stockage ZFS). Le dernier profil vous permet de créer des pools de stockage. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Pour obtenir la procédure, reportez-vous à la section Création de systèmes de fichiers ZFS pour les fichiers d'audit.
Avec ces deux options, le système de fichiers d'audit est compressé. Une fois le service d'audit actualisé, le taux de compression s'affiche.
Pour définir la compression, utilisez la commande zfs set compression=on dataset . Dans les exemples suivants, le pool ZFS auditp/auditf est le jeu de données.
# zfs set compression=on auditp/auditf # audit -s # zfs get compressratio auditp/auditf NAME PROPERTY VALUE SOURCE auditp/auditf compressratio 4.54x -
# zfs set compression=gzip-9 auditp/auditf # zfs get compression auditp/auditf NAME PROPERTY VALUE SOURCE auditp/auditf compression gzip-9 local # audit -s # zfs get compressratio auditp/auditf NAME PROPERTY VALUE SOURCE auditp/auditf compressratio 16.89x -
L'algorithme de compression gzip-9 génère des fichiers qui occupent un tiers d'espace de moins qu'avec l'algorithme de compression par défaut lzjb. Pour plus d'informations, reportez-vous au Chapitre 5, Gestion des systèmes de fichiers Oracle Solaris ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.
Le SE Oracle Solaris peut auditer les connexions, quelle que soit la source.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Cette classe audite les connexions, déconnexions, et blocages d'écran. Ces classes sont soumises à un audit par défaut.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
# auditconfig -getflags active user default audit flags = as,st(0x20800,0x20800) configured user default audit flags = as,st(0x20800,0x20800) # auditconfig -setflags lo,as,st user default audit flags = as,lo,st(0x21800,0x21800) # auditconfig -getnaflags active non-attributable audit flags = na(0x400,0x400) configured non-attributable audit flags = na(0x400,0x400) # auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
Remarque - Pour effectuer l'audit des connexions ssh, votre système doit exécuter le démon ssh à partir d'Oracle Solaris. Ce démon est modifié pour le service d'audit sur un système Oracle Solaris. Pour plus d'informations, reportez-vous à la section Secure Shell et le projet OpenSSH.
Le service FTP crée des journaux pour les transferts de fichiers. Le service SFTP, qui s'exécute sous le protocole ssh, peut être audité par présélection de la classe d'audit ft. Les connexions aux deux services peuvent faire l'objet d'un audit.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Pour connaître les options de journalisation disponibles, visitez la page ProFTPD Logging.
La classe ft comprend les transactions SFTP suivantes :
% auditrecord -c ft file transfer: chmod ... file transfer: chown ... file transfer: get ... file transfer: mkdir ... file transfer: put ... file transfer: remove ... file transfer: rename ... file transfer: rmdir ... file transfer: session start ... file transfer: session end ... file transfer: symlink ... file transfer: utimes
Comme indiqué dans la sortie suivante, la connexion et la déconnexion du démon proftpd génèrent des enregistrements d'audit.
% auditrecord -c lo | more
...
FTP server login
program proftpd See in.ftpd(1M)
event ID 6165 AUE_ftpd
class lo (0x0000000000001000)
header
subject
[text] error message
return
FTP server logout
program proftpd See in.ftpd(1M)
event ID 6171 AUE_ftpd_logout
class lo (0x0000000000001000)
header
subject
return
...
|