test

Trusted Solaris の監査管理

ワークステーションの監査

監査の設定は、セキュリティ管理者がワークステーションごとに行います。設定ファイルは、audit_control です。このファイルは各ワークステーションにあり、監査デーモンがこれを読み取ります (audit_control(4) のマニュアルページを参照してください)。audit_control ファイルは、/etc/security ディレクトリにあります。

通常、dir: 行と minfree: 行はワークステーション固有なので、ワークステーションごとに別々の audit_control ファイルを管理することになります。分散システムでは、これ以外の行は全く同じになります。

audit_control ファイルでは、次のように 4 種類の情報を別々の行に規定します。

セキュリティ管理者は、各ワークステーションでの構成時にデフォルトの audit_control ファイルを修正します。

分散システムのセキュリティ管理者は、audit_control ファイルの構成が終わったら、これをその他のワークステーションに配布します。このファイルを変更した場合、管理者はネットワーク上のすべてのワークステーションで audit -s を実行し、監査デーモンに audit_control ファイルをもう一度読み込ませます。

注 -

audit -s コマンドでは、既存プロセスの事前選択マスクは変更されません。既存プロセスの事前選択マスクを変更したい場合は、auditconfigsetaudit、または auditon(2) を使用してください (setaudit については getauid(2) のマニュアルページを参照してください)。

audit_control ファイルの例

次に、ワークステーション willetaudit_control ファイルの例を示します。willet は、監査サーバー egret の 2 つの監査ファイルシステムと、監査管理サーバー audubon からマウントした 3 番目の監査ファイルシステムを使用します。3 番目のファイルシステムは、egret の監査ファイルシステムがいっぱいであるか、または使用できない場合に限って、監査レコードを保存します。minfree の値が 20% になっているので、ファイルシステムの 80% がいっぱいになり、現在のワークステーションの監査データが新しいディレクトリに保存される時点で警告スクリプトが実行されます (audit_warn(1M) のマニュアルページを参照)。フラグは、ログインと管理操作すべてをその成否にかかわらず監査することと、ファイルシステムのオブジェクト作成の失敗を除く全種類の失敗イベントを監査することを表しています。 

flags:lo,ad,-all,^-fc
naflags:lo,nt
minfree:20
dir:/etc/security/audit/egret/files
dir:/etc/security/audit/egret.1/files
#
# Audit filesystem used when egret fills up
#
dir:/etc/security/audit/audubon