test

Trusted Solaris 관리 개요

감사 계획 및 설정

사이트에 감사 기능을 설정하기 전에 먼저 다음을 수행해야 합니다.

감사 클래스

감사할 이벤트를 결정해야 합니다. 사용자의 동작뿐만 아니라 속성을 알 수 없는 이벤트 즉, 특정 사용자에 대한 속성이 될 수 없는 인터럽트도 포착할 수 있습니다. 사용자 동작은 성공한 트랜잭션과 실패한 트랜잭션으로 구분할 수 있습니다. Trusted Solaris에서 감사 이벤트는 클래스로 구성되며, 파일에 대한 감사 클래스는 다음과 같은 일반적인 영역에 포함됩니다.

필요한 경우 자신의 고유한 클래스나 이벤트도 작성할 수 있으며, 이벤트에 대한 클래스 매핑을 재배열할 수 있습니다. 다른 클래스들은 프로세스 동작, 네트워크 이벤트, 윈도우 동작, IPC 동작, 관리자 동작, 로그인, 로그아웃, 응용프로그램 정의 이벤트, ioctl 시스템 호출, 프로그램 실행, Xserver 동작 및 기타 이벤트들과 같은 항목을 추적합니다. 감사 정보는 많은 저장 공간을 필요로 하므로 어떤 이벤트를 감사할지 신중하게 결정해야 하며, 사이트 보안 정책상 꼭 필요한 이벤트가 수록된 클래스만 선택해야 합니다.

공용 객체

수집된 감사 정보의 양을 줄이는 좋은 방법은 파일과 디렉토리를 공용 객체로 지정하는 것입니다. 공용 객체는 일반적으로 읽기 전용 정보를 수록하고 있어, 일반 사용자가 수정할 수 없으며 보안에 구애받지 않아 그 객체를 액세스하는 사용자를 추적할 필요가 없습니다. 시스템 시계를 공용 객체의 좋은 예로 들 수 있습니다. 공용 객체를 지칭하는 공용 객체 플래그를 설정하면 그 객체를 지정하는 감사 플래그는 무시됩니다.

감사 정보 저장소

감사에는 다량의 디스크 공간이 필요하므로 정보가 수집될 장소를 세심하게 계획해야 합니다.

사이트가 네트워크로 연결되지 않은 개별 워크스테이션을 사용하는 경우 각 워크스테이션마다 감사 레코드를 저장할 전용 디스크를 갖추는 것이 바람직합니다. 전용 디스크에는 적어도 다음과 같은 두 개의 분할 영역이 있어야 합니다.

워크스테이션 네트워크의 경우 적어도 하나 이상의 별도 서버를 감사 정보 수집 전용으로 두어야 하며, 감사 데이터 관리와 분석을 위한 또 하나의 서버가 있어야 합니다.

어느 경우이든 무결성을 유지하고 탐지를 방지하기 위해 감사 파일과 디렉토리에 MAC과 DAC 보호를 설정해야 합니다.

감사 구성 파일

사이트에서의 감사 사양은 /etc/security 하위 디렉토리에 상주하는 이들 구성 파일에 저장되어 있습니다.

네트워크에 대한 감사를 설정할 경우에는 각 워크스테이션에 audit_user, audit_classaudit_event 파일의 동일한 버전이 있어야 합니다.