BSM サービスでは、次の用語が使用されています。定義によっては、より詳細な説明への参照先も示します。
表 23–1 BSM の用語
用語 |
定義 |
---|---|
監査クラス |
監査イベントのグループ。監査クラスを使用して、イベントのグループを管理できる。詳細は、監査クラスを参照 |
監査ディレクトリ |
監査ファイルのリポジトリ。監査ディレクトリの種類については、監査ディレクトリを参照 |
監査イベント |
監査対象のセキュリティ関連のシステム動作。監査イベントの種類については、監査イベントを参照 |
監査フラグ |
監査を行うイベントクラスとタイミングを決定するために使用する変数。監査フラグの詳細は、監査フラグを参照 |
監査ポリシー |
特定の構成について有効または無効を指定できる監査オプションの集合。監査オプションには、特定の種類の監査データを記録するかどうか、監査トレールがいっぱいになったときに監査を中断するかどうかなどを指定する |
監査レコード |
バイナリ形式で格納されるデータで、単一の監査イベントを示す。監査レコードは、一連の監査トークンから構成される。監査レコードの詳細は、監査レコードを参照 |
監査トークン |
バイナリ形式で格納される一連のデータで、監査イベント (プロセス、パスなどのオブジェクト) の属性を示す。監査トークンの詳細は、監査トークンの形式を参照 |
監査トレール | |
デバイス割り当て |
デバイスの使用を制限し、デバイスが使い終わったあとに残っているデータを消去するメカニズム。デバイス割り当ての詳細は、デバイス割り当てを参照 |
セキュリティシステムに関連する動作について監査を行います。これらの監査可能な動作を、監査イベントと呼びます。監査イベントは、/etc/security/audit_event ファイルに指定します。各監査イベントは、このファイル内でシンボル名、イベント番号、一連の選択済みクラス、および簡単な説明により定義されています (audit_event(4) のマニュアルページを参照)。
監査イベントには、いくつかのカテゴリがあります。監視イベントは、カーネルによって生成されたイベント (カーネルレベルイベントと呼ばれる) と、アプリケーションによって生成されたイベント (アプリケーションレベルイベントと呼ばれる) に大きく分けられます。イベントの生成元 (カーネル、またはユーザーレベルのアプリケーション) によって、イベントを識別するイベント番号の範囲が決定されます。
表 23–2 監査イベントのカテゴリ
番号の範囲 |
イベントの種類 |
|
---|---|---|
1–2047 |
カーネルレベルの監査イベント |
|
2048–65535 |
ユーザーレベルの監査イベント |
|
|
2048–32767 |
SunOS ユーザーレベルのプログラム用に予約 |
|
32768–65535 |
カーネルによって生成されるイベント (システムコール) では、1 から 2047 までのイベント番号が付けられます。イベント名は AUE_ で始まり、そのあとにイベントを表す大文字のイベントニーモニックが続きます。たとえば、creat() システムコールのイベント番号は 4 で、イベント名は AUE_CREAT です。
カーネルの外側でアプリケーションソフトウェアによって生成されるイベントで、2048 から 65535 までのイベント番号が付けられます。 イベント名は AUE_ で始まり、そのあとにイベントを表す小文字のニーモニックが続きます。たとえば、rlogin コマンドのイベント番号は 6155 で、イベント名は AUE_rlogin です。表 23–2 にユーザーに関連するイベントの一般的なカテゴリを示します。
ほとんどのイベントは個々のユーザーの動作が原因で発生しますが、一部のイベントはユーザーに起因しません。これらのイベントは、「ユーザーに起因しないイベント」と呼ばれます。イベントがカーネル割り込みレベルで発生したり、ユーザーが識別されて認証される前に発生したりする場合は、ユーザーに起因しません。ユーザーに起因しないイベントも同じように監査されます。AUE_ENTERPROM (カーネルイベント番号 153) と AUE_mountd_mount (ユーザーレベルイベント番号 6156) はユーザーに起因しないイベントの例です。/etc/security/audit_event ファイル内で各イベントの番号を調べてください。
各監査イベントは、1 つまたは複数の監査クラスに属するものとして定義します。イベントをクラスに割り当てると、より多くのイベントをより簡単に処理できるようになります。クラスを指定すると、そのクラスのすべてのイベントが同時に監視されます。監査イベントをクラスへ割り当てて構成します。構成の変更は audit_event ファイル内で行います。
監査可能なイベントが監査トレールに記録されるかどうかは、監査するクラスを事前に選択したときに、そのイベントが含まれているかによって決まります。監査クラスは、32 クラスまで設定できます。クラスには、 all および no という 2 つのグローバルクラスが含まれます。監査クラスについては、表 26–2 を参照してください。
監査フラグは監査対象となるイベントのクラスを示します。マシン全体で有効な監査関連のデフォルト値は、audit_control ファイル内のフラグによって各マシン上のすべてのユーザーに対して指定されます。詳細については、audit_controlファイル を参照して下さい。
ユーザーごとに監査フラグを変更するには、監査フラグを audit_user ファイル内のユーザーのエントリに設定します。監査フラグは、auditconfig の引数としても使用されます。auditconfig(1M) のマニュアルページを参照してください。
各監査レコードには、監査された 1 つのイベントの発生が記述されます。その動作を行なったユーザー、影響を受けたファイル、試みられた動作、その動作が発生した位置と時刻などの情報が含まれます。
監査イベントごとに保存される情報の種類は、監査トークンのセットとして定義されます。 1 つのイベントに対して監査レコードが作成されるたびに、イベントの内容に従って、定義されたトークンの一部またはすべてがそのレコードに書き込まれます。監査レコードの説明を生成するには、auditlist コマンドを使用します。詳細は、監査レコードの書式の表示方法を参照してください。各監査トークンの構造については、監査トークンの形式を参照してください。
監査レコードは監査トレール内に収集され (audit.log(4) のマニュアルページを参照)、praudit コマンドによってユーザーが読める書式に変換できます(praudit(1M) のマニュアルページを参照)。詳細は、praudit コマンドを参照してください。
監査ディレクトリには、監査ファイルの集合を保管します。通常のインストールでは、多くの監査ディレクトリが使用されます。監査ディレクトリには、次の 3 つのタイプがあります。
一次監査ディレクトリ – 通常の条件下で、システム監査ファイルが配置されるディレクトリ
二次監査ディレクトリ – 一次ディレクトリがいっぱいか使用できない場合に、システム監査ファイルが配置されるディレクトリ
最後のディレクトリ – 一次監査ディレクトリと二次監査ディレクトリが使用できない場合に使用されるローカル監査ディレクトリ
デバイス割り当てメカニズムにより、デバイスの使用を制限し、デバイス使い終わったあとに残っているデータを消去することができます。これらの動作により、デバイスのセキュリティが向上します。詳細は、デバイス割り当ての管理 または デバイス割り当て参照 を参照してください。