跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
缺省情况下将启用审计服务。如果在全局区域中设置 perzone 审计策略,则区域管理员可以在其非全局区域中启用、刷新和禁用审计服务。
启用审计服务后,如果更改了审计插件的配置,此过程将更新审计服务。
开始之前
您必须是指定有 Audit Control(审计控制)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
# audit -s
刷新审计服务不会更改现有进程的掩码。要显式重置现有进程的预选掩码,请参见如何更新已登录用户的预选掩码。
示例 28-25 刷新启用的审计服务
在本示例中,管理员重新配置审计、验证更改,然后刷新审计服务。
首先,管理员添加临时策略。
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
然后,管理员指定队列控制。
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
随后,管理员指定插件属性。
对于 audit_binfile 插件,管理员将删除 qsize 值。
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
对于 audit_syslog 插件,管理员将指定要发送到 syslog 的成功登录和注销事件以及失败的可执行文件。此插件的 qsize 设置为 150。
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150
管理员不配置也不使用 audit_remote 插件。
不再设置临时 zonename 策略。
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
队列控制保留原样。
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
audit_binfile 插件没有指定的队列大小。audit_syslog 插件具有指定的队列大小。
# auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 50 ...
本过程显示设置了 perzone 审计策略后如何在全局区域和非全局区域中禁用审计。在全局区域中设置了 perzone 策略后,已启用了审计的非全局区域将继续在全局区域重新引导和非全局区域重新引导时收集审计记录。
开始之前
要禁用或启用审计服务,您必须是指定有 Audit Control(审计控制)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
有关更多信息,请参见 audit(1M) 和 auditd(1M) 手册页。
# audit -t
如果没有设置 perzone 审计策略,此命令将禁用所有区域中的审计。如果设置了 perzone 审计策略,则非全局区域不受影响。
如果设置了 perzone 审计策略,非全局区域管理员必须在非全局区域中禁用服务。
zone1 # audit -t
本过程在管理员禁用审计服务后为所有区域启用该服务。要在非全局区域中启动审计服务,请参见示例 28-26。
开始之前
要启用或禁用审计服务,您必须是指定有 Audit Control(审计控制)权限配置文件的管理员。有关更多信息,请参见如何使用指定给您的管理权限。
# audit -s
有关更多信息,请参见 audit(1M) 手册页。
# auditconfig -getcond audit condition = auditing
示例 28-26 在非全局区域中启用审计
在本示例中,区域管理员执行以下操作后,为 zone1 启用审计服务:
全局区域管理员在全局区域中设置 perzone 策略。
非全局区域的区域管理员配置审计服务和每用户定制。
然后,区域管理员为区域启用审计服务。
zone1# audit -s