Solaris のシステム管理 (セキュリティサービス)

監査ポリシーの決定

監査ポリシーを使用して、ローカルシステムの監査レコードの特性を決定します。監査ポリシーオプションは、起動スクリプトによって設定されます。監査サービスを有効にする bsmconv スクリプトによって、/etc/security/audit_startup スクリプトが作成されます。audit_startup スクリプトは、auditconfig コマンドを実行することで監査ポリシーを設定します。スクリプトの詳細は、audit_startup(1M) のマニュアルページを参照してください。

ほとんどの監査ポリシーオプションがデフォルトで無効になっているのは、記憶領域要件とシステム処理要求を最小限に抑えるためです。監査ポリシーオプションを動的に有効または無効にするには、auditconfig コマンドを使用します。監査ポリシーオプションを永続的に有効または無効にするには、audit_startup スクリプトを使用します。

次の表を参照して、1 つまたは複数の監査ポリシーオプションを有効にしたときに発生する追加のオーバーヘッドを考慮しながら、サイトの要件を決定してください。

表 29–1 監査ポリシーオプションの働き


ポリシー名	説明	ポリシーオプションを変更する理由
`ahlt`	非同期イベントにだけ適用されます。無効にすると、監査レコードが生成されないまま、イベントを完了できます。有効にすると、監査ファイルシステムがいっぱいになるとシステムを停止します。監査キューの再配置、監査レコードの空き容量の確保、および再起動は管理者の介入が必要です。大域ゾーンでだけ有効にできます。ポリシーはすべてのゾーンに影響します。	セキュリティーよりシステムの可用性が重要な場合は、無効にします。セキュリティーを最優先する場合は、有効にします。
`arge`	無効にすると、実行されたプログラムの環境変数が `exec` 監査レコードから除外されます。有効にすると、実行されたプログラムの環境変数が `exec` 監査レコードに追加されます。監査レコードには、より詳細な情報が記録されます。	無効にすると、収集される情報が大幅に少なくなります。このオプションは、少数のユーザーを監査するときに有効にします。このオプションは、`exec` プログラムで使用される環境変数に問題があるときにも有用です。
`argv`	無効にすると、実行されたプログラムの引数が `exec` 監査レコードから除外されます。有効にすると、実行されたプログラムの引数が `exec` 監査レコードに追加されます。監査レコードには、より詳細な情報が記録されます。	無効にすると、収集される情報が大幅に少なくなります。このオプションは、少数のユーザーを監査するときに有効にします。このオプションは、`exec` プログラムが正常に動作しないことがはっきりしているときにも有用です。
`cnt`	無効にすると、ユーザーまたはアプリケーションの実行がブロックされます。このブロックが発生するのは、空きディスク容量の不足により監査トレールに監査レコードが追加できない場合です。有効にすると、監査レコードが生成されないまま、イベントを完了できます。生成されなかった監査レコードのカウントは行われます。	セキュリティーを最優先する場合は、無効にします。セキュリティーよりシステムの可用性が重要な場合は、有効にします。
`group`	無効にすると、グループの一覧が監査レコードに追加されません。有効にすると、グループの一覧が特別なトークンとしてすべての監査レコードに追加されます。	通常は無効にしてもサイトのセキュリティー要件は満たします。どのグループが監査イベントを生成しているかを監査する必要があるときは、有効にします。
`path`	無効にすると、1 つのシステムコールで使用されたパスが、あっても 1 つだけ監査レコードに記録されます。有効にすると、監査イベントで使用されたすべてのパスが、すべての監査レコードに記録されます。	無効にすると、監査レコードにパスが、あっても 1 つだけ記録されます。有効にすると、1 つのシステムコールで使用された各ファイル名またはパスが、監査レコードに `path` トークンとして記録されます。
`perzone`	無効にすると、システムの単一の監査構成を保守します。大域ゾーン内で 1 つのデーモンが実行されます。`zonename` 監査トークンを事前選択すると、非大域ゾーンの監査イベントは、監査レコード内に置かれます。有効にすると、各ゾーンの監査構成、監査キュー、および監査ログを別々に保守します。単独バージョンの監査デーモンが各ゾーンで実行されます。大域ゾーンでだけ有効にできます。	各ゾーンごとに監査ログ、キュー、およびデーモンを保守する理由が特にない場合は、無効にすると便利です。単に `zonename` 監査トークンを事前選択することではシステムを効果的に監視できない場合は、有効にすると便利です。
`public`	無効にすると、ファイルの読み取りが事前に選択されている場合に、公開オブジェクトの読み取り専用イベントが監査トレールに追加されなくなります。読み取り専用イベントを含む監査クラスとしては、`fr`、`fa`、および `cl` があります。有効にすると、適切な監査フラグが事前に選択されている場合、公開オブジェクトの読み取り専用監査イベントのすべてが記録されます。	通常は無効にしてもサイトのセキュリティー要件は満たします。このオプションを有効にするのはまれです。
`seq`	無効にすると、すべての監査レコードに順序番号が追加されません。有効にすると、すべての監査レコードに順序番号が追加されます。順序番号は `sequence` トークンに格納されます。	監査が問題なく動作しているときは、無効にしても構いません。 `cnt` ポリシーが有効なときは、有効にする意味があります。`seq` ポリシーにより、いつデータが破棄されるかを決定できます。
`trail`	無効にすると、`trailer` トークンが監査レコードに追加されません。有効にすると、`trailer` トークンがすべての監査レコードに追加されます。	無効にすると、作成される監査レコードが小さくなります。有効にすると、各監査レコードの最後に `trailer` トークンが常に付加されます。`trailer` トークンは、多くの場合 `sequence` トークンと一緒に使用されます。`trailer` トークンを使用すると、監査レコードの再同期が容易で正確になります。
`zonename`	無効にすると、`zonename` トークンが監査レコードに含まれません。有効にすると、`zonename` トークンが非大域ゾーンからのすべての監査レコードに含まれます。	ゾーン間で監査動作を比較する必要がない場合は、無効にすると便利です。ゾーン間で監査動作を特定し比較する場合は、有効にすると便利です。

非同期イベントおよび同期イベントの監査ポリシー

ahlt ポリシーおよび cnt ポリシーは、監査キューがいっぱいで追加のイベントを受け入れられない場合の動作を管理します。ポリシーは独立して関連しています。ポリシーの組み合わせには、それぞれ次のような効果があります。

-ahlt +cnt は、出荷時のデフォルトのポリシーです。このデフォルトのポリシーにより、イベントが記録できない場合でも、監査対象イベントが処理されます。

-ahlt ポリシーでは、非同期イベントの監査レコードがカーネル監査キューに配置できない場合、システムがイベントをカウントして処理を続行します。大域ゾーンで、as_dropped カウンタがカウントを記録します。

+cnt ポリシーでは、同期イベントがカーネル監査キューに到達しても配置できない場合、システムがイベントをカウントして処理を続行します。ゾーンの as_dropped カウンタがカウントを記録します。

-ahlt +cnt の構成は通常、処理の続行により監査レコードが失われる可能性があっても処理を続行する必要のある場合に使用します。auditstatdrop フィールドは、ゾーンで破棄された監査レコードの数を示します。
+ahlt -cnt ポリシーでは、イベントがカーネル監査キューに追加できない場合、処理が停止します。

+ahlt ポリシーでは、非同期イベントの監査レコードがカーネル監査キューに配置できない場合、すべての処理が停止されます。システムはパニック状態になります。非同期イベントは、監査キューには入らず、呼び出しスタックのポインタから復元する必要があります。

-cnt ポリシーでは、同期イベントがカーネル監査キューに配置できない場合、イベントを配信しようとするスレッドがブロックされます。スレッドは、監査領域が使用可能になるまでスリープキューに配置されます。カウントは保持されません。プログラムは、監査領域が使用可能になるまでハングアップしたように見えることがあります。

+ahlt -cnt の構成は通常、システムの可用性より監査イベントの記録を優先する場合に使用します。プログラムは、監査領域が使用可能になるまでハングアップしたように見えます。auditstat wblk フィールドは、スレッドがブロックされた回数を示します。

ただし、非同期イベントが発生した場合、システムがパニック状態になり停止します。監査イベントのカーネルキューは、保存したクラッシュダンプから手動で復元できます。非同期イベントは、監査キューには入らず、呼び出しスタックのポインタから復元する必要があります。
-ahlt -cnt ポリシーでは、非同期イベントがカーネル監査キューに配置できない場合、イベントがカウントされ処理が続行します。同期イベントがカーネル監査キューに配置できない場合、イベントを配信しようとするスレッドがブロックされます。スレッドは、監査領域が使用可能になるまでスリープキューに配置されます。カウントは保持されません。プログラムは、監査領域が使用可能になるまでハングアップしたように見えることがあります。

-ahlt -cnt の構成は通常、非同期監査レコードが失われる可能性より、すべての同期監査イベントの記録を優先する場合に使用します。auditstat wblk フィールドは、スレッドがブロックされた回数を示します。
+ahlt +cnt ポリシーでは、非同期イベントがカーネル監査キューに配置できない場合、システムがパニック状態になります。同期イベントがカーネル監査キューに配置できない場合、システムがイベントをカウントして処理を続行します。

ポリシー名	説明	ポリシーオプションを変更する理由
`ahlt`	非同期イベントにだけ適用されます。無効にすると、監査レコードが生成されないまま、イベントを完了できます。有効にすると、監査ファイルシステムがいっぱいになるとシステムを停止します。監査キューの再配置、監査レコードの空き容量の確保、および再起動は管理者の介入が必要です。大域ゾーンでだけ有効にできます。ポリシーはすべてのゾーンに影響します。	セキュリティーよりシステムの可用性が重要な場合は、無効にします。セキュリティーを最優先する場合は、有効にします。
`arge`	無効にすると、実行されたプログラムの環境変数が `exec` 監査レコードから除外されます。有効にすると、実行されたプログラムの環境変数が `exec` 監査レコードに追加されます。監査レコードには、より詳細な情報が記録されます。	無効にすると、収集される情報が大幅に少なくなります。このオプションは、少数のユーザーを監査するときに有効にします。このオプションは、`exec` プログラムで使用される環境変数に問題があるときにも有用です。
`argv`	無効にすると、実行されたプログラムの引数が `exec` 監査レコードから除外されます。有効にすると、実行されたプログラムの引数が `exec` 監査レコードに追加されます。監査レコードには、より詳細な情報が記録されます。	無効にすると、収集される情報が大幅に少なくなります。このオプションは、少数のユーザーを監査するときに有効にします。このオプションは、`exec` プログラムが正常に動作しないことがはっきりしているときにも有用です。
`cnt`	無効にすると、ユーザーまたはアプリケーションの実行がブロックされます。このブロックが発生するのは、空きディスク容量の不足により監査トレールに監査レコードが追加できない場合です。有効にすると、監査レコードが生成されないまま、イベントを完了できます。生成されなかった監査レコードのカウントは行われます。	セキュリティーを最優先する場合は、無効にします。セキュリティーよりシステムの可用性が重要な場合は、有効にします。
`group`	無効にすると、グループの一覧が監査レコードに追加されません。有効にすると、グループの一覧が特別なトークンとしてすべての監査レコードに追加されます。	通常は無効にしてもサイトのセキュリティー要件は満たします。どのグループが監査イベントを生成しているかを監査する必要があるときは、有効にします。
`path`	無効にすると、1 つのシステムコールで使用されたパスが、あっても 1 つだけ監査レコードに記録されます。有効にすると、監査イベントで使用されたすべてのパスが、すべての監査レコードに記録されます。	無効にすると、監査レコードにパスが、あっても 1 つだけ記録されます。有効にすると、1 つのシステムコールで使用された各ファイル名またはパスが、監査レコードに `path` トークンとして記録されます。
`perzone`	無効にすると、システムの単一の監査構成を保守します。大域ゾーン内で 1 つのデーモンが実行されます。`zonename` 監査トークンを事前選択すると、非大域ゾーンの監査イベントは、監査レコード内に置かれます。有効にすると、各ゾーンの監査構成、監査キュー、および監査ログを別々に保守します。単独バージョンの監査デーモンが各ゾーンで実行されます。大域ゾーンでだけ有効にできます。	各ゾーンごとに監査ログ、キュー、およびデーモンを保守する理由が特にない場合は、無効にすると便利です。単に `zonename` 監査トークンを事前選択することではシステムを効果的に監視できない場合は、有効にすると便利です。
`public`	無効にすると、ファイルの読み取りが事前に選択されている場合に、公開オブジェクトの読み取り専用イベントが監査トレールに追加されなくなります。読み取り専用イベントを含む監査クラスとしては、`fr`、`fa`、および `cl` があります。有効にすると、適切な監査フラグが事前に選択されている場合、公開オブジェクトの読み取り専用監査イベントのすべてが記録されます。	通常は無効にしてもサイトのセキュリティー要件は満たします。このオプションを有効にするのはまれです。
`seq`	無効にすると、すべての監査レコードに順序番号が追加されません。有効にすると、すべての監査レコードに順序番号が追加されます。順序番号は `sequence` トークンに格納されます。	監査が問題なく動作しているときは、無効にしても構いません。 `cnt` ポリシーが有効なときは、有効にする意味があります。`seq` ポリシーにより、いつデータが破棄されるかを決定できます。
`trail`	無効にすると、`trailer` トークンが監査レコードに追加されません。有効にすると、`trailer` トークンがすべての監査レコードに追加されます。	無効にすると、作成される監査レコードが小さくなります。有効にすると、各監査レコードの最後に `trailer` トークンが常に付加されます。`trailer` トークンは、多くの場合 `sequence` トークンと一緒に使用されます。`trailer` トークンを使用すると、監査レコードの再同期が容易で正確になります。
`zonename`	無効にすると、`zonename` トークンが監査レコードに含まれません。有効にすると、`zonename` トークンが非大域ゾーンからのすべての監査レコードに含まれます。	ゾーン間で監査動作を比較する必要がない場合は、無効にすると便利です。ゾーン間で監査動作を特定し比較する場合は、有効にすると便利です。