Trusted Solaris の監査管理

監査の停止と再開の手順

ここからは、1 台から複数台のワークステーションの監査を有効または無効にする手順について説明します。各コマンドは、ディスクフルワークステーションで実行してください。ディスクレスクライアントでは実行できません。

タスクの監査は、特定の役割と特定のラベルに制限したコマンドとアクションが必要です。タスクを実行できる管理役割および必要なラベルについて、タスクの説明を参照してください。役割になって特権付きのシェルを開く方法については、「特権の必要なコマンドを実行する方法」 を参照してください。

監査を無効にする方法

  1. ラベル admin_low でセキュリティ管理者になって、管理用エディタでスクリプト /etc/init.d/audit を開きます。


    注 -

    この処置は、監査がサイトのセキュリティ要件に含まれていない場合または監査ファイルがオーバーフローした場合にのみ、セキュリティ管理者が責任を持って行ってください。


  2. 起動スクリプトをコメントにします。

    ...
    	# Start the audit daemon	
    #	if [ -f /etc/security/audit_startup ] ; then
    #			echo "starting audit daemon"
    #			/etc/security/audit_startup
    #			/usr/sbin/auditd &
    #	fi
    ...
  3. 内容を書き込んで、ファイルを閉じます。

  4. 管理用エディタで /etc/init.d/drvconfig ファイルを開きます。

  5. 次の行をファイルの最後に追加します。

    # Disable auditing
    
    #
    
    /usr/bin/adb -wk /dev/ksyms /dev/mem > /dev/null <<end
    
    audit_active/W 0
    
    end
    
  6. シャットダウン時の監査デーモンに対する不要なメッセージを表示しないようにするには、/etc/init.d/audit の中の停止スクリプトをコメントにします。

    ...
    
    	# Stop the audit daemon	
    
    #       if [ -f /etc/security/audit_startup ] ; then
    
    #               /usr/sbin/audit -t
    
    #       fi
  7. 内容を書き込んで、ファイルを閉じます。

  8. システムを再起動して、変更内容を有効にします。


    注 -

    ユーザーまたは管理役割は、ワークステーションを再起動する承認が必要です。


    1. トラステッドパスメニューから「シャットダウン (Shut Down)」を選択します。

    2. 終了を確認します。

    3. ok プロンプトに boot と入力するか、または > プロンプトに b と入力します。


      Type help for more information
      <#2> ok boot
      Type b (boot), c (continue), or n (new command mode)
      > b
      

監査を有効にする方法

監査はデフォルトで有効になっています。監査を無効にした場合には、前述の手順を逆に実行して有効にすることができます。

  1. ラベル admin_low でセキュリティ管理者になって、 管理用エディタで、スクリプト /etc/init.d/audit を開きます。

  2. 監査起動スクリプトからコメントを解除します。

    ...
    	# Start the audit daemon	
    	if [ -f /etc/security/audit_startup ] ; then
    			echo "starting audit daemon"
    			/etc/security/audit_startup
    			/usr/sbin/auditd &
    	fi
    ...
    
  3. 内容を書き込んで、ファイルを閉じます。

  4. 監査デーモンが /etc/init.d/audit の監査停止スクリプトからコメントを取り除いて、シャットダウン時に終了できるようにします。

    ...
    
    	# Stop the audit daemon	
    		if [ -f /etc/security/audit_startup ] ; then
    		/usr/sbin/audit -t
    		fi
  5. 内容を書き込んで、ファイルを閉じます。

  6. 管理用エディタを使用して、スクリプト /etc/init.d/drvconfig を開きます。

  7. Disable auditing の後ろの行をコメントにします。

    # Disable auditing
    
    #
    # /usr/bin/adb -wk /dev/ksyms /dev/mem > /dev/null <<end
    # audit_active/W 0
    # end
  8. 内容を書き込んで、ファイルを閉じます。

  9. 変更内容を有効にするには、トラステッドパスメニューから「シャットダウン (Shut Down)」メニュー項目を使用して再起動します。