ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
24. Kerberos アプリケーションの使用 (タスク)
監査サービスは、デフォルトで有効になっています。大域ゾーンで perzone 監査ポリシーが設定されている場合、ゾーン管理者は、自分の非大域ゾーン内の監査サービスを有効にしたり、リフレッシュしたり、無効にしたりすることができます。
この手順では、監査サービスが有効になったあと、監査プラグインの構成を変更したときに監査サービスをリフレッシュします。
始める前に
Audit Control 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# audit -s
注 - 監査サービスをリフレッシュすると、すべての一時的な構成設定が失われます。監査ポリシーとキュー制御では、一時的な設定が許可されます。詳細は、auditconfig(1M) のマニュアルページを参照してください。
監査サービスをリフレッシュしても、既存のプロセスのマスクは変更されません。既存のプロセスの事前選択マスクを明示的にリセットするには、「ログインしているユーザーの事前選択マスクを更新する方法」を参照してください。
例 28-25 有効になっている監査サービスをリフレッシュする
この例では、管理者が監査を再構成し、変更を確認したあと、監査サービスをリフレッシュします。
最初に、管理者は一時的なポリシーを追加します。
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
次に、管理者はキュー制御を指定します。
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
次に、管理者はプラグインの属性を指定します。
audit_binfile プラグインの場合、管理者は qsize 値を削除します。
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
audit_syslog プラグインの場合、管理者は、成功したログインおよびログアウトイベントと失敗した実行可能ファイルが syslog に送信されるように指定します。このプラグインの qsize は 150 に設定されます。
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150
管理者は、audit_remote プラグインを構成したり、使用したりしません。
次に、管理者は監査サービスをリフレッシュし、構成を確認します。
一時的な zonename ポリシーはもう設定されていません。
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
キュー制御は同じままです。
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
audit_binfile プラグインには、指定されたキューサイズはありません。audit_syslog プラグインには、指定されたキューサイズがあります。
# auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 50 ...
この手順は、大域ゾーンで、および perzone 監査ポリシーが設定されている場合は非大域ゾーンで監査を無効にする方法を示しています。perzone ポリシーが大域ゾーンで設定されたあと、監査が有効になっている非大域ゾーンは、大域ゾーンのリブートや非大域ゾーンのリブートのあとも引き続き監査レコードを収集します。
始める前に
監査サービスを無効または有効にするには、Audit Control 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
詳細は、audit(1M) と auditd(1M) のマニュアルページを参照してください。
# audit -t
perzone 監査ポリシーが設定されていない場合は、このコマンドによって、すべてのゾーンで監査が無効になります。perzone 監査ポリシーが設定されている場合、非大域ゾーンは影響を受けません。
perzone 監査ポリシーが設定されている場合、非大域ゾーン管理者は、その非大域ゾーンでサービスを無効にする必要があります。
zone1 # audit -t
この手順では、監査サービスが管理者によって無効にされたあとに、すべてのゾーンでこのサービスを有効にします。非大域ゾーンで監査サービスを開始するには、例 28-26 を参照してください。
始める前に
監査サービスを有効または無効にするには、Audit Control 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# audit -s
詳細は、audit(1M) のマニュアルページを参照してください。
# auditconfig -getcond audit condition = auditing
例 28-26 非大域ゾーンで監査を有効にする
この例では、ゾーン管理者が、次のアクションを実行したあとに zone1 に対する監査サービスを有効にします。
大域ゾーン管理者は、大域ゾーンで perzone ポリシーを設定します。
非大域ゾーンのゾーン管理者は、監査サービスと、ユーザーごとのカスタマイズを構成します。
次に、ゾーン管理者は、そのゾーンに対する監査サービスを有効にします。
zone1# audit -s