Trusted Solaris の監査管理

監査の設定手順 - 上級

ここでは、デフォルトの監査クラスと監査イベントを修正する方法と、ファイルとフォルダに公開オブジェクトビットを設定して必要のない監査を減らす方法について説明します。

監査クラスを追加する方法

ラベル admin_low でセキュリティ管理者になって、audit_classes ファイルに監査クラスを追加します。
1. アプリケーションマネージャで「システム管理 (System_Admin)」フォルダを開きます。
2. 「監査クラス (Audit Classes)」アクションをダブルクリックします。

「イベントとクラスの対応関係の計画 - サイト独自の設定」で計画したクラスを追加し、内容を保存してエディタを終了します。

注意 -
すでに使用している 16 進数を割り当てることはできません。

ラベル admin_low でセキュリティ管理者になって、「監査イベント (Audit Events)」アクションを開いて、イベントに新しいクラスを追加します。

イベントが複数のクラスに属する場合、コンマ (スペースは使わない) でクラスを区切ります。

内容を保存してエディタを終了します。

audit_control(4) ファイルと audit_user(4) ファイルを変更して、新しいクラスのイベントの監査を行えるようにします。

手順の詳細については、「監査フラグを設定する方法」や「例外ユーザー情報を設定する方法」を参照してください。

注 -
分散システムでは、audit_class、audit_event、audit_startup、 audit_user の各ファイルはネットワーク上の全ワークステーションで同じ内容にします。ファイルのマスターコピーをネットワーク上のすべてのワークステーションに配布する手順については、「監査構成ファイルをネットワーク上の各ワークステーションに配布する方法」を参照してください。

システムを再起動するか、セキュリティ管理者になって admin_low プロファイルシェルで auditconfig(1M) コマンドを実行します。このとき、適切なオプションを付けます。

次の例では、監査セッション ID は 159 で、新しいクラスは gr (グラフィックアプリケーション用) と db (データベースアプリケーション用) です。
$ auditconfig -setsmask 159 gr,db

監査イベントを追加する方法

ラベル admin_low でセキュリティ管理者になって、audit_event(4) ファイルに監査イベントを追加します。
1. アプリケーションマネージャで「システム管理 (System_Admin)」フォルダを開きます。
2. 「監査イベント (Audit Events)」アクションをダブルクリックします。

「イベントとクラスの対応関係の計画 - サイト独自の設定」で計画したイベントを追加し、内容を保存してエディタを終了します。

イベントが複数のクラスに属する場合、コンマでクラスを区切ります (スペースは使わない)。

注 -
他社のアプリケーション用イベント番号は 32768 から 65536 までです。詳細は、表 1-1を参照してください。

audit_control(4) ファイルと audit_user(4) ファイルを変更して、新しいクラスのイベントの監査を行えるようにします。

手順の詳細については、「監査フラグを設定する方法」や「例外ユーザー情報を設定する方法」を参照してください。

注 -
分散システムでは、audit_class、audit_event、audit_startup、 audit_user の各ファイルはネットワーク上の全ワークステーションで同じ内容にします。ファイルのマスターコピーをネットワーク上のすべてのワークステーションに配布する手順については、「監査構成ファイルをネットワーク上の各ワークステーションに配布する方法」を参照してください。

システムを再起動するか、セキュリティ管理者になって admin_low プロファイルシェルで auditconfig(1M) コマンドを実行します。このとき、適切なオプションを付けます。

次の例では、監査セッション ID は 159 で、新しいイベントはクラス gr (グラフィックアプリケーション用) と db (データベースアプリケーション用) にあります。
$ auditconfig -setsmask 159 gr,db

イベントとクラスの対応関係を変更する方法

audit_control(4) ファイルのイベントとクラスの対応関係を変更します。
1. ラベル admin_low でセキュリティ管理者になって、アプリケーションマネージャで「システム管理 (System_Admin)」フォルダを開きます。
2. 「監査イベント (Audit Events)」アクションをダブルクリックします。

ファイルを編集して、イベントごとにクラスとの対応関係を変更し、内容を保存してエディタを終了します。

イベント番号 2048 以上のイベントを変更する場合、必要な作業はこれだけです。

注 -
分散システムでは、audit_class、audit_event、audit_startup、 audit_user の各ファイルはネットワーク上の全ワークステーションで同じ内容にします。ファイルのマスターコピーをネットワーク上のすべてのワークステーションに配布する手順については、「監査構成ファイルをネットワーク上の各ワークステーションに配布する方法」を参照してください。

カーネルイベント (イベント番号 1 〜 2047) のクラスとの対応関係を修正する場合は次のようにします。
1. システムを再起動します。
2. ラベル admin_low でセキュリティ管理者になって、実行時のイベントとクラスの対応関係を変更します。
  $ auditconfig -conf

アクセスが公開されているファイルに公開オブジェクトビットを設定する方法

公開オブジェクトビットを設定すると、ファイルまたはディレクトリに対して成功したアクセスが監査レコードに含まれる場合、監査トレールのサイズを小さくすることができます。ファイルの公開オブジェクトビットが設定されていると、成功したアクセスの表示、一覧あるいはアクセスするファイルまたはディレクトリの属性の一覧表示が、監査レコードに書き込まれることはありません。

ラベル admin_low でセキュリティ管理者になって、setfattrflag(1) コマンドに -p 1 オプションを付けて実行し、アクセスが公開されているファイルのローカルディレクトリに公開オブジェクトビットを設定します。

次のコマンドは、/etc ディレクトリに公開オブジェクトビットを設定します。/etc ディレクトリの検索、/etc ディレクトリのファイルの読み取り処理では、監査レコードは生成されません。

$ setfattrflag -p 1 /etc
$ getfattrflag /etc
 Multilevel directory: no
 Single level directory: no
          Public object: yes

ラベル admin_low でセキュリティ管理者になって、attr_flag セキュリティ属性によって、公共アクセスが可能なファイルのマウント済みファイルシステムに公開オブジェクトビットを設定します。

たとえば、マウント済みファイルシステム /spublic の vfstab_adjunct(4) ファイルは、そのファイルシステムのすべてのファイルに公開オブジェクトフラグを設定します。

#       Modified template.
#
/spublic; ¥
acc_acl=; ¥
mode=; ¥
attr_flag=public; ¥
gid=; ¥
uid=; ¥
slabel=; ¥
forced=; ¥
allowed=; ¥
low_range=; ¥
hi_range=; ¥
mld_prefix=mldroot;
#

mount

Trusted Solaris 管理の手順