第 18 章 Trusted Extensions での監査 (概要)
この章では、Solaris Trusted Extensions で提供される監査の追加機能について説明します。
Trusted Extensions と監査
Trusted Extensions ソフトウェアが設定されたシステムでは、監査の構成と管理は Solaris システムでの監査の場合と類似しています。ただし、次の相違点があります。
-
Trusted Extensions ソフトウェアは、監査クラス、監査イベント、監査トークン、および監査ポリシーオプションをシステムに追加します。
-
Trusted Extensions ソフトウェアでは、デフォルトで監査が有効になっています。
-
Solaris のゾーン別の監査はサポートされていません。Trusted Extensions では、すべてのゾーンがあらゆる点で同じように監査されます。
-
Trusted Extensions には、ユーザーの監査特性を管理し、監査ファイルを編集するための管理ツールがあります。
-
Trusted Extensions での監査の構成と管理には、システム管理者とセキュリティー管理者の 2 つの役割が使用されます。
セキュリティー管理者は、監査の対象と、イベントとクラスとのサイト固有のマッピングを計画します。Solaris OS の場合と同じく、システム管理者は監査ファイルのためのディスク容量要件を計画し、監査管理サーバーを作成して、監査構成ファイルをインストールします。
Trusted Extensions の役割による監査の管理
Trusted Extensions での監査には、Solaris OS の場合と同様の計画が必要です。計画については、『System Administration Guide: Security Services』の第 29 章「Planning for OpenSolaris Auditing」を参照してください。
監査管理のための役割の設定
Trusted Extensions では、監査を担当する役割が 2 つあります。 システム管理者役割は、ディスクと監査ストレージのネットワークを設定します。セキュリティー管理者役割は、監査の対象を決定し、監査構成ファイルに情報を指定します。Solaris OS の場合と同じく、管理者がソフトウェアで役割を作成します。これら 2 つの役割に対する権利プロファイルが用意されています。初期設定チームは、初期構成中にセキュリティー管理者役割を作成しました。詳細は、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でセキュリティー管理者役割を作成する」を参照してください。
注 –
システムは、監査構成ファイルによってシステムが記録するように設定されている (事前選択の) セキュリティー関連イベントのみを記録します。したがって、後続の監査見直しでは、記録されたイベントしか考慮しません。設定に誤りがあると、システムのセキュリティーに対する侵入の試みが検出されなかったり、セキュリティー侵入の責任があるユーザーを管理者が特定できなくなる可能性があります。管理者は定期的に監査証跡を分析して、セキュリティー侵入をチェックする必要があります。
Trusted Extensions での監査タスク
Trusted Extensions で監査を構成し管理する手順は、Solaris での手順と少し異なります。
-
監査の構成は、2 つの管理役割のいずれかが大域ゾーンで行います。その後、システム管理者はカスタマイズされたそれぞれの監査ファイルを大域ゾーンから各ラベル付きゾーンにコピーします。この手順に従うことにより、ユーザーアクションは大域ゾーンとラベル付きゾーンで同じように監査されます。
詳細は、「セキュリティー管理者の監査タスク」 and 「システム管理者の監査タスク」を参照してください。
-
Trusted Extensions 管理者はトラステッドエディタを使用して、監査構成ファイルを編集します。Trusted CDE の場合、Trusted Extensions 管理者は CDE アクションを使用して、トラステッドエディタを起動します。アクションのリストについては、「Trusted CDE アクション」を参照してください。
-
Trusted Extensions 管理者は Solaris 管理コンソールを使用して、特定のユーザーを設定します。ユーザー固有の監査特性は、このツールで指定できます。ユーザーの特性を指定する必要があるのは、そのユーザーの監査特性が、作業中のシステムの監査特性と異なる場合だけです。このツールについては、「Solaris 管理コンソールツール」を参照してください。
セキュリティー管理者の監査タスク
次のタスクはセキュリティー関連であり、セキュリティー管理者が担当します。Solaris に関する指示に従いますが、Trusted Extensions の管理ツールを使用してください。
|
作業 |
Solaris に関する指示 |
Trusted Extensions に関する指示 |
|---|---|---|
|
監査ファイルを設定します。 |
『System Administration Guide: Security Services』の「Configuring Audit Files (Task Map)」 |
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。 |
|
(省略可能) デフォルトの監査ポリシーを変更します。 |
『System Administration Guide: Security Services』の「How to Configure Audit Policy」 |
トラステッドエディタを使用します。 |
|
監査を無効にし、再度有効にします。 |
『System Administration Guide: Security Services』の「How to Disable the Audit Service」 |
監査機能はデフォルトで有効になります。 |
|
監査を管理します。 |
『System Administration Guide: Security Services』の「Solaris Auditing (Task Map)」 |
トラステッドエディタを使用します。 ゾーンごとの監査タスクを無視します。 |
システム管理者の監査タスク
次のタスクは、システム管理者が担当します。Solaris に関する指示に従いますが、Trusted Extensions の管理ツールを使用してください。
|
作業 |
Solaris に関する指示 |
Trusted Extensions に関する指示 |
|---|---|---|
|
監査パーティションおよび監査管理サーバーを作成、監査パーティションをエクスポート、監査パーティションをマウントします。 audit_warn 別名を作成します。 |
大域ゾーンですべての管理を実行します。 トラステッドエディタを使用します。 |
|
|
カスタマイズされた監査ファイルをラベル付きゾーンにコピーまたはループバックマウントします。 |
『System Administration Guide: Security Services』の「Configuring the Audit Service in Zones (Tasks)」 |
最初のラベル付きゾーンにファイルをコピーしてから、そのゾーンをコピーします。 あるいは、ラベル付きゾーンが作成されたあとで、それぞれのゾーンにファイルをループバックマウントまたはコピーします。 |
|
(省略可能) 監査構成ファイルを配布します。 |
指示なし |
『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でポータブルメディアからファイルをコピーする方法」を参照してください |
|
監査を管理します。 |
『System Administration Guide: Security Services』の「Solaris Auditing (Task Map)」 |
ゾーンごとの監査タスクを無視します。 |
|
『System Administration Guide: Security Services』の「How to Select Audit Events From the Audit Trail」 |
ラベル別のレコードを選択するには、auditreduce コマンドと -l オプションを使用します。 |
Trusted Extensions の監査のリファレンス
Trusted Extensions ソフトウェアは、監査クラス、監査イベント、監査トークン、および監査ポリシーのオプションを Solaris OS に追加します。いくつかの監査コマンドが、ラベル処理のために拡張されています。Trusted Extensions の監査レコードには、次の図に示すようにラベルが含まれています。
図 18–1 ラベル付きシステムでの一般的な監査レコード
Trusted Extensions の監査クラス
Trusted Extensions ソフトウェアで Solaris OS に追加される監査クラスの一覧を次の表にアルファベット順に示します。これらのクラスは、/etc/security/audit_class ファイルに一覧されています。監査クラスについては、audit_class(4) のマニュアルページを参照してください。
表 18–1 X サーバー監査クラス|
短い名前 |
長い名前 |
監査マスク |
|---|---|---|
|
xc |
X - オブジェクトの作成/破棄 | |
|
xp |
X - 特権/管理操作 | |
|
xs |
X - 失敗した場合、常にメッセージを表示せずにエラーになる操作 | |
|
xx |
X - xl、xc、xp、および xs クラスのすべての X イベント (メタクラス) |
X サーバー監査イベントは、次の条件に従ってこれらのクラスにマップされます。
-
xc – このクラスは、サーバーオブジェクトの作成と破棄を監査します。たとえば、このクラスで CreateWindow() を監査します。
-
xp – このクラスは特権の使用を監査します。特権の使用は、成功と失敗のいずれかになります。たとえば、クライアントがほかのクライアントのウィンドウの属性を変更しようとするときは、ChangeWindowAttributes() が監査されます。このクラスには、SetAccessControl() などの管理ルーチンも含まれています。
-
xs – このクラスは、セキュリティー属性が原因で失敗したときにクライアントに X エラーメッセージを返さないルーチンを監査します。たとえば GetImage() は、特権がないためにウィンドウからの読み取りに失敗しても、BadWindow エラーを返しません。
これらのイベントは、成功した場合にのみ監査するよう選択してください。失敗した場合の xs イベントを選択すると、監査証跡が無関係のレコードでいっぱいになります。
-
xx – このクラスには、X 監査クラスがすべて含まれます。
Trusted Extensions の監査イベント
Trusted Extensions ソフトウェアでは、システムに監査イベントが追加されます。新しい監査イベントと、そのイベントが属する監査クラスは、 /etc/security/audit_event ファイルに一覧されています。Trusted Extensions の監査イベント番号は、9000 から 10000 の間です。監査クラスについては、audit_event(4) のマニュアルページを参照してください。
Trusted Extensions の監査トークン
Trusted Extensions ソフトウェアで Solaris OS に追加される監査トークンを、次の表にアルファベット順に一覧しています。トークンは、audit.log(4) マニュアルページにも一覧されています。
表 18–2 Trusted Extensions の監査トークン|
トークン名 |
説明 |
|---|---|
|
機密ラベル |
|
|
X ウィンドウのアトム ID |
|
|
X クライアント ID |
|
|
X ウィンドウのカラー情報 |
|
|
X ウィンドウのカーソル情報 |
|
|
X ウィンドウのフォント情報 |
|
|
X ウィンドウのグラフィカルコンテキスト情報 |
|
|
X ウィンドウのピクセルマッピング情報 |
|
|
X ウィンドウのプロパティー情報 |
|
|
X ウィンドウのデータ情報 |
|
|
X ウィンドウのウィンドウ情報 |
label トークン
label トークンは、機密ラベルを含みます。次のフィールドがあります。
-
トークン ID
-
機密ラベル
トークン形式は次の図のとおりです。
図 18–2 label トークン形式
label トークンは、praudit コマンドによって次のように表示されます。
sensitivity label,ADMIN_LOW |
xatom トークン
xatom トークンは、X アトムに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
文字列長
-
アトムを識別するテキスト文字列
xatom トークンは、praudit によって次のように表示されます。
X atom,_DT_SAVE_MODE |
xclient トークン
xclient トークンは、X クライアントに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
クライアント ID
xclient トークンは、praudit によって次のように表示されます。
X client,15 |
xcolormap トークン
xcolormap トークンは、カラーマップに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
トークン形式は次の図のとおりです。
図 18–3 xcolormap、 xcursor、xfont、xgc、xpixmap 、xwindow トークンの形式
xcolormap トークンは、praudit によって次のように表示されます。
X color map,0x08c00005,srv |
xcursor トークン
xcursor トークンは、カーソルに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
トークン形式は、図 18–3 のとおりです。
xcursor トークンは、praudit によって次のように表示されます。
X cursor,0x0f400006,srv |
xfont トークン
xfont トークンは、フォントに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
トークン形式は、図 18–3 のとおりです。
xfont トークンは、praudit によって次のように表示されます。
X font,0x08c00001,srv |
xgc トークン
xgc トークンは、xgc に関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
トークン形式は、図 18–3 のとおりです。
xgc トークンは、praudit によって次のように表示されます。
Xgraphic context,0x002f2ca0,srv |
xpixmap トークン
xpixmap トークンは、ピクセルマッピングに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
トークン形式は、図 18–3 のとおりです。
xpixmap トークンは、praudit によって次のように表示されます。
X pixmap,0x08c00005,srv |
xproperty トークン
xproperty トークンは、ウィンドウの各種プロパティーに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
-
文字列長
-
アトムを識別するテキスト文字列
xproperty トークン形式は次の図のとおりです。
図 18–4 xproperty トークン形式
xproperty トークンは、praudit によって次のように表示されます。
X property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS |
xselect トークン
xselect トークンは、ウィンドウ間で移動するデータを含みます。このデータは、内部構造を想定されないバイトストリームと、プロパティー文字列です。次のフィールドがあります。
-
トークン ID
-
プロパティー文字列の長さ
-
プロパティー文字列
-
プロパティータイプの長さ
-
プロパティータイプ文字列
-
データのバイト数を示す長さフィールド
-
データを含むバイト文字列
トークン形式は次の図のとおりです。
図 18–5 xselect トークン形式
xselect トークンは、praudit によって次のように表示されます。
X selection,entryfield,halogen |
xwindow トークン
xwindow トークンは、ウィンドウに関する情報を含みます。次のフィールドがあります。
-
トークン ID
-
X サーバー識別子
-
作成者のユーザー ID
トークン形式は、図 18–3 のとおりです。
xwindow トークンは、praudit によって次のように表示されます。
X window,0x07400001,srv |
Trusted Extensions での監査ポリシーオプション
Trusted Extensions は、既存の Solaris 監査ポリシーオプションに 2 つの監査ポリシーオプションを追加します。追加の監査ポリシーを確認するには、ポリシーを一覧表示します。
$ auditconfig -lspolicy ... windata_down Include downgraded window information in audit records windata_up Include upgraded window information in audit records |
Trusted Extensions の監査コマンドの拡張
auditconfig、auditreduce、および bsmrecord の各コマンドは、Trusted Extensions 情報を処理できるように拡張されています。
-
auditconfig コマンドには、Trusted Extensions の監査ポリシーが含まれます。詳細は、auditconfig(1M) のマニュアルページを参照してください。
-
auditreduce コマンドでは、ラベルに従ってレコードをフィルタする -l オプションが追加されています。詳細は、auditreduce(1M) のマニュアルページを参照してください。
-
bsmrecord コマンドには、Trusted Extensions の監査イベントが含まれます。詳細は、bsmrecord(1M) のマニュアルページを参照してください。
- © 2010, Oracle Corporation and/or its affiliates