规划 Solaris 审计（任务）

您需要选择审计的活动类型，同时需要收集有用的审计信息。审计文件不断增大，可能会很快占满可用空间，因此应该分配足够的磁盘空间。您还需要仔细规划要审计的对象及内容。

如何在区域中规划审计

如果您的系统实现了区域，则可以进行两种审计配置：

• 可以单独配置非全局区域。

• 可以在全局区域中为所有区域配置审计。

1. 确定是否要在非全局区域中自定义审计。

   • 如果不想在非全局区域中自定义审计，请转至步骤 2。

   • 如果要在非全局区域中自定义审计，请考虑以下事项：

     • 还必须配置全局区域。

       要根据非全局区域中的审计配置文件收集审计记录，必须在全局区域中设置 perzone 审计策略。

       ---

       注 –

       如果使用自定义名称服务文件实现非全局区域，则应设置 perzone 审计策略选项。名称服务文件包括 /etc/password、/etc/shadow 和 nsswitch.conf。有关不设置 perzone 选项的信息，请参见审计和 Solaris Zones。

       ---

     • 区域中的审计配置文件由此区域的审计守护进程读取。

       每个区域都运行自己的审计守护进程，具有自己的审计队列，并收集自己的审计日志。这些操作由计算机集中执行。

     • 各个区域都可以设置除 perzone 和 ahlt 以外的所有策略选项。这些策略选项在全局区域中设置。

     如果在每个区域中自定义审计配置文件，应使用如何规划要审计的对象及内容规划每个区域。可以跳过第一步。还必须使用如何规划审计记录的存储规划每个区域。

2. 确定是否需要单映像审计跟踪。

   单映像审计跟踪将正在审计的系统视为一台计算机。全局区域会在系统上运行唯一的审计守护进程，并收集每个区域的审计日志。仅可在全局区域中自定义审计配置文件。

   此配置将所有区域视为单一系统的一部分。要区分区域审计记录，可以设置 zonename 策略。然后，可以使用 auditreduce 命令，按区域来选择审计事件。有关示例，请参见 auditreduce(1M) 手册页。

   要规划单映像审计跟踪，请使用如何规划要审计的对象及内容进行规划。从第一步开始。还必须使用如何规划审计记录的存储规划每个区域。

如何规划审计记录的存储

审计跟踪需要专用文件空间。审计文件的专用文件空间必须可用且安全。各个系统都应具有多个为审计文件配置的审计目录。作为首要任务之一，在任何系统上启用审计之前，都应决定如何配置审计目录。以下过程介绍了规划审计跟踪存储时要解决的问题。

开始之前

如果要实现非全局区域，请在使用此过程之前完成如何在区域中规划审计。

1. 确定您站点所需的审计量。

   针对审计跟踪平衡磁盘空间可用性和站点的安全需求。

   有关如何在保持站点安全的同时降低空间需求，以及如何设计审计存储的指南，请参见控制审计成本和有效审计。

2. 确定要审计的系统。

   在这些系统上，至少为一个本地审计目录分配空间。有关如何指定审计目录的信息，请参见示例 29–3。

3. 确定要存储审计文件的系统。

   确定要保存主审计目录和辅助审计目录的服务器。有关为审计目录配置磁盘的示例，请参见如何创建审计文件的分区。

4. 命名审计目录。

   创建计划使用的所有审计目录的列表。有关命名约定，请参见二进制审计文件名称约定。

5. 确定哪些系统要使用哪些审计目录。

   创建一个列表，显示哪个系统应使用哪个审计目录。此列表有助于您平衡审计活动。有关图解，请参见图 30–1 和图 30–2。

如何规划要审计的对象及内容

开始之前

如果要实现非全局区域，请在使用此过程之前完成如何在区域中规划审计。

1. 确定是否需要单映像审计跟踪。

   如果计划以不同的方式审计各个系统，请从下一步开始。应该针对每个系统完成其余的规划步骤。

   单映像审计跟踪将正在审计的系统视为一台计算机。要为某个站点创建单映像审计跟踪，安装中的每个系统都应进行如下配置：

   • 与其他所有系统使用相同的 audit_warn、audit_event 、audit_class 和 audit_startup 文件。

   • 使用相同的 audit_user 数据库。此数据库可以位于名称服务中。

   • 在 audit_control 文件中具有相同的 flags、naflags 和 plugin 项。

2. 确定审计策略。

   使用 auditconfig -lspolicy 命令查看可用策略选项的简短说明。缺省情况下，仅打开 cnt 策略。有关更全面的介绍，请参见步骤 8。

   有关策略选项的影响，请参见确定审计策略。有关如何设置审计策略的信息，请参见如何配置审计策略。

3. 确定是否要修改事件到类的映射。

   在多数情况下，缺省映射便已够用。但是，如果添加新类、更改类定义，或者确定某特定系统调用的记录无用，则可能需要将某个事件移动到其他类。

   有关示例，请参见如何更改审计事件的类成员关系。

4. 确定要预选的审计类。

   添加审计类或更改缺省类的最佳时机是在启动审计服务之前。

   audit_control 文件中 flags、naflags 和 plugin 项的审计类值适用于所有用户和进程。预选类可以确定是只针对成功情况对审计类进行审计，还是只针对失败情况对其进行审计，或者同时针对两种情况对其进行审计。

   有关如何预选审计类的信息，请参见如何修改 audit_control 文件。

5. 确定系统范围预选审计类的用户例外情况。

   如果决定使用系统范围预选审计类以外的方式来审计某些用户，请修改 audit_user 数据库中单个用户项。

   有关示例，请参见如何更改用户审计特征。

6. 确定最小可用磁盘空间。

   当审计文件系统上的磁盘空间低于 minfree 百分比时，auditd 守护进程将切换到下一个可用审计目录。然后，此守护进程将发送一条警告，指出已超过软限制。

   有关如何设置最小可用磁盘空间的信息，请参见示例 29–4。

7. 决定如何管理 audit_warn 电子邮件别名。

   只要审计系统需要通知您出现了需要管理干预的情况，就会运行 audit_warn 脚本。缺省情况下，audit_warn 脚本会向 audit_warn 别名发送电子邮件，并向控制台发送消息。

   要设置别名，请参见如何配置 audit_warn 电子邮件别名。

8. 决定当所有审计目录已满时需要执行的操作。

   缺省情况下，当审计跟踪溢出时，系统还会继续工作。系统会对已删除的审计记录进行计数，但是不会记录事件。要获得更大的安全性，可以禁用 cnt 策略，同时启用 ahlt 策略。当审计跟踪溢出时，ahlt 策略将停止系统。

   有关如何配置这些策略选项的信息，请参见示例 29–14。

9. 决定是否收集 syslog 格式以及二进制日志格式的审计记录。

   有关概述信息，请参见审计文件。

   有关示例，请参见如何配置 syslog 审计日志。