跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
审计服务审计整个系统,包括区域中的审计事件。安装了非全局区域的系统可以以相同方式审计所有区域,也可基于每个区域配置审计。有关更多信息,请参见如何规划区域中的审计。
当对非全局区域完全像对全局区域一样进行审计时,非全局区域的管理员可能无法访问审计记录。而且,全局区域管理员可以修改非全局区域中用户的审计预选掩码。
当分别审计各个非全局区域时,审计记录的可见范围是相应的非全局区域以及从该非全局区域根产生的全局区域。
此过程可以实现以相同方式审计所有区域。该方法需要的计算机开销和管理资源最少。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
完成配置审计服务(任务列表)中的任务,但注意以下例外:
不要启用 perzone 审计策略。
设置 zonename 策略。此策略将区域名称添加到每个审计记录。
# auditconfig -setpolicy +zonename
如果修改了 audit_class 或 audit_event 文件,请采用以下两种方式之一复制它:
可以回送挂载文件。
可以复制文件。
非全局区域必须在运行中。
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] commit end exit
# zoneadm -z non-global-zone boot
之后,如果在全局区域中修改了审计配置文件,请重新引导每个区域以刷新非全局区域中回送挂载的文件。
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
之后,如果在全局区域中更改其中一个文件,则必须将更改的文件复制到非全局区域。
当在全局区域中重新启动审计服务时,或者重新引导非全局区域时,将对非全局区域进行审计。
示例 28-23 在区域中挂载作为回送挂载的审计配置文件
在本示例中,系统管理员修改了 audit_class、audit_event 和 audit_warn 文件。
audit_warn 文件仅在全局区域中读取,因此不必将其挂载到非全局区域。
在系统 machine1 中,管理员创建了两个非全局区域:machine1–webserver 和 machine1–appserver。管理员已经完成了对审计配置文件的修改。如果管理员以后修改文件,必须重新引导区域以重新读取回送挂载。
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] commit end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end ... exit
重新引导非全局区域时,audit_class 和 audit_event 文件在区域中为只读。
此过程使每个区域的管理员可以在他们的各自区域中控制审计服务。有关策略选项的完整列表,请参见 auditconfig(1M) 手册页。
开始之前
要配置审计,您必须是指定有 Audit Configuration(审计配置)权限配置文件的管理员。要启用审计服务,您必须是指定有 Audit Control(审计控制)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
注 - 您无需在全局区域中启用审计服务。
具体来说,不要将 perzone 或 ahlt 策略添加到非全局区域中。
myzone# audit -s
示例 28-24 在非全局区域中禁用审计
此示例适用于已设置了 perzone 审计策略的情况。noaudit 区域的管理员禁用该区域的审计。
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit