ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
24. Kerberos アプリケーションの使用 (タスク)
監査サービスは、ゾーン内での監査イベントも含め、システム全体を監査します。非大域ゾーンがインストールされているシステムでは、すべてのゾーンを同様に監査したり、ゾーンごとに監査を構成したりできます。詳細は、「ゾーン内の監査の計画方法」を参照してください。
非大域ゾーンを、大域ゾーンを監査する場合とまったく同様に監査する場合は、非大域ゾーン管理者が監査レコードにアクセスできない可能性があります。また、大域ゾーン管理者は、非大域ゾーン内のユーザーの監査事前選択マスクを変更することもできます。
非大域ゾーンを個別に監査する場合は、監査レコードが非大域ゾーンのルートから非大域ゾーンと大域ゾーンに表示されます。
この手順に従えば、すべてのゾーンを同様に監査できます。この方法を使えば、必要とされるコンピュータオーバーヘッドと管理リソースが最小になります。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
「監査サービスの構成 (タスクマップ)」のタスクを行います。ただし、次の点は例外です。
perzone 監査ポリシーを有効にしないでください。
zonename ポリシーを設定します。このポリシーによって、ゾーンの名前がすべての監査レコードに追加されます。
# auditconfig -setpolicy +zonename
audit_class または audit_event ファイルを変更した場合は、次の 2 つの方法のどちらかでコピーします。
これらのファイルをループバックマウントできます。
これらのファイルをコピーできます。
非大域ゾーンが動作している必要があります。
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] commit end exit
# zoneadm -z non-global-zone boot
あとで、大域ゾーンで監査構成ファイルを変更した場合は、ループバックマウントされたファイルを非大域ゾーンでリフレッシュするために各ゾーンをリブートします。
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
あとで、大域ゾーンでこれらのファイルのいずれかを変更した場合は、変更されたファイルを非大域ゾーンにコピーする必要があります。
非大域ゾーンは、大域ゾーンで監査サービスが再開されたときか、またはゾーンがリブートされたときに監査されます。
例 28-23 ゾーンで監査構成ファイルをループバックマウントとしてマウントする
この例では、システム管理者が audit_class、audit_event、および audit_warn ファイルを変更しました。
audit_warn ファイルは大域ゾーンでのみ読み取られるため、非大域ゾーンにマウントする必要はありません。
このシステム machine1 上で、管理者は 2 つの非大域ゾーン machine1–webserver と machine1–appserver を作成しました。管理者は、監査構成ファイルの変更を完了しました。管理者があとでこれらのファイルを変更した場合は、ループバックマウントを再読み込みするために、ゾーンをリブートする必要があります。
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] commit end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end ... exit
非大域ゾーンがリブートされると、audit_class および audit_event ファイルは、これらのゾーンで読み取り専用になります。
この手順に従えば、個々のゾーン管理者が自身のゾーン内で監査サービスを制御できます。ポリシーオプションの完全な一覧については、auditconfig(1M) のマニュアルページを参照してください。
始める前に
監査を構成するには、Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。監査サービスを有効にするには、Audit Control 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
注 - 大域ゾーンで監査サービスを有効にする必要はありません。
特に、非大域ゾーンに perzone または ahlt ポリシーを追加しないでください。
myzone# audit -s
例 28-24 非大域ゾーンで監査を無効にする
この例は、perzone 監査ポリシーが設定されている場合に機能します。noaudit ゾーンのゾーン管理者が、そのゾーンの監査を無効にします。
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit