| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
Planen der Oracle Solaris-Prüfung (Übersicht der Schritte)
Planen der Oracle Solaris-Prüfung (Aufgaben)
So planen Sie die Prüfung der Zonen
Prüfrichtlinien für asynchrone und synchrone Ereignisse
Steuerung des Prüfungsaufwands
Höhere Verarbeitungszeit der Prüfungsdaten
Aufwand für Analyse der Prüfungsdaten
Aufwand für Speicherung der Prüfungsdaten
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Zwar möchten Sie nur bestimmte Aktivitäten prüfen, aber dennoch nützliche Informationen während der Prüfung erfassen. Der verfügbare Speicherplatz kann durch die steigende Größe der Prüfdateien schnell belegt werden. Ordnen Sie daher ausreichend Festplattenspeicher zu. Gehen Sie bei der Planung der zu prüfenden Personen und Objekte sorgfältig vor.
Wenn das System über implementierte Zonen verfügt, sind für die Konfiguration der Prüfung zwei Möglichkeiten verfügbar:
Sie können einen Prüfservice in der globalen Zone für alle Zonen konfigurieren.
Es kann ein Prüfservice pro Zone konfiguriert werden.
Weitere Informationen erhalten Sie unter Prüfung auf Systemen mit Oracle Solaris-Zonen.
Durch eine identische Prüfung aller Zonen kann ein Prüfpfad auf einem einzelnen Image erstellt werden. Ein Prüfpfad auf einem einzelnen Image ist vorhanden, wenn alle Zonen in einem System Teil einer administrativen Domain sind. Die Prüfdatensätze können dann einfach verglichen werden, da die Datensätze in jeder Zone mit den gleichen Einstellungen im Voraus ausgewählt werden.
Bei dieser Konfiguration werden alle Zonen als Teil eines Systems behandelt. In der globalen Zone wird der einzige Prüfdämon im System ausgeführt, und es werden Prüfprotokolle für jede Zone erfasst. Die Prüfkonfigurationsdateien werden nur in der globalen Zone angepasst; anschließend werden die Prüfkonfigurationsdateien in jede nicht globale Zone kopiert.
Die audit_user-Datenbank kann eine lokale Datei darstellen oder über einen gemeinsam genutzten Naming Service zur Verfügung gestellt werden.
Um den Zonennamen als Teil des Prüfdatensatzes zu verwenden, legen Sie die Richtlinie zonename in der globalen Zone fest. Der Befehl auditreduce kann anschließend Prüfereignisse pro Zone aus dem Prüfpfad auswählen. Ein Beispiel dazu finden Sie auf der Manpage auditreduce(1M).
Weitere Informationen zur Planung eines Prüfpfads auf einem einzelnen Image finden Sie unter So planen Sie die zu prüfenden Personen und Objekte. Beginnen Sie mit dem ersten Schritt. Der Administrator der globalen Zone muss ebenfalls Speicherplatz zur Verfügung stellen (siehe Beschreibung unter So planen Sie Speicherplatz für Prüfdatensätze).
Konfigurieren Sie die Prüfung pro Zone, wenn die verschiedenen Zonen über unterschiedliche Naming Service-Dateien verfügen oder wenn Zonenadministratoren die Prüfung in ihren Zonen steuern möchten.
Wenn Sie eine zonenweise Prüfung konfigurieren, müssen Sie eine Konfiguration der globalen Zone für die Prüfung durchführen. Die Prüfrichtlinie perzone wird in der globalen Zone eingerichtet. Weitere Informationen zum Einrichten der Prüfrichtlinie finden Sie unter So konfigurieren Sie eine zonenweise Prüfung.
Hinweis - Wenn Naming Service-Dateien in nicht globalen Zonen angepasst werden und die Richtlinie perzone nicht festgelegt ist, müssen Sie bei der Verwendung der Tools für die Prüfung sorgfältig vorgehen, um die verwendbaren Datensätze auszuwählen. Eine Benutzer-ID in einer Zone kann auf einen anderen Benutzer über die gleiche ID in einer anderen Zone verweisen.
Um Datensätze zu generieren, die auf die ursprüngliche Zone zurückverfolgt werden können, legen Sie die Prüfrichtlinie zonename in der globalen Zone fest. Führen Sie in der globalen Zone den Befehl auditreduce mit der Option zonename aus. Führen Sie anschließend in der Zone zonename den Befehl praudit in der Ausgabe auditreduce aus.
Die jeweiligen Zonenadministratoren konfigurieren die Prüfdateien für die Zone.
Ein Administrator für nicht globale Zonen kann alle Richtlinienoptionen mit Ausnahme von perzone und ahlt festlegen.
Die Zonenadministratoren können die Prüfung in der Zone aktivieren oder deaktivieren.
Wenn Sie die Prüfkonfigurationsdateien in den jeweiligen Zonen anpassen möchten, gehen Sie wie unter So planen Sie die zu prüfenden Personen und Objekte beschrieben vor, um die Planung für jede Zone durchzuführen. Sie können den ersten Schritt überspringen. Die jeweiligen Zonenadministratoren müssen ebenfalls Speicherplatz für die einzelnen Zonen bereitstellen (siehe Beschreibung unter So planen Sie Speicherplatz für Prüfdatensätze).
Für den Prüfpfad ist ein dedizierter Dateibereich erforderlich. Der dedizierte Dateibereich für Prüfdateien muss verfügbar und sicher sein. Jedes System muss über verschiedene Prüfverzeichnisse verfügen, die für Prüfdateien konfiguriert sind. Legen Sie als eine der ersten Aufgaben fest, wie die Prüfverzeichnisse konfiguriert werden sollen, bevor Sie die Prüfung auf einem System aktivieren. Im folgenden Verfahren werden die Schritte für die Planung des Prüfpfad-Speicherplatzes beschrieben.
Bevor Sie beginnen
Wenn Sie nicht globale Zonen implementieren, führen Sie zunächst die Schritte unter So planen Sie die Prüfung der Zonen aus, bevor Sie dieses Verfahren durchführen.
Wägen Sie die Sicherheitsanforderungen Ihres Standorts mit der Verfügbarkeit des Festplattenspeichers für den Prüfpfad ab.
Weitere Informationen zur Verringerung der Speicherplatzanforderungen bei gleichzeitiger Gewährleistung der Sicherheit am Standort sowie zum Einrichten von Prüfspeicherplatz finden Sie unter Steuerung des Prüfungsaufwands und Effiziente Prüfung.
Ordnen Sie auf diesen Systemen Speicherplatz für mindestens ein lokales Prüfverzeichnis zu. Weitere Informationen zum Angeben der Prüfverzeichnisse finden Sie unter Beispiel 30-3.
Geben Sie an, auf welchen Servern die primären und sekundären Prüfverzeichnisse gespeichert werden sollen. Beispiele zum Konfigurieren der Festplatten für Prüfverzeichnisse finden Sie unter So erstellen Sie Partitionen für Prüfdateien.
Erstellen Sie eine Liste aller Prüfverzeichnisse, die Sie verwenden möchten. Richtlinien zur Benennung finden Sie unter Speichern des Prüfpfads und Befehl auditreduce.
Erstellen Sie eine Map, auf der dargestellt ist, welches Prüfverzeichnis von welchem System verwendet wird. Mithilfe der Map können Sie die Prüfaktivitäten ausgleichen. Eine Beschreibung finden Sie unter Abbildung 31-1 und Abbildung 31-2.
Bevor Sie beginnen
Wenn Sie nicht globale Zonen implementieren, führen Sie zunächst die Schritte unter So planen Sie die Prüfung der Zonen aus, bevor Sie dieses Verfahren durchführen.
Bei Systemen in einer einzelnen administrativen Domain kann ein Prüfpfad auf einem einzelnen System-Image erstellt werden. Wenn die Systeme unterschiedliche Naming Services verwenden, beginnen Sie mit dem nächsten Schritt. Schließen Sie die restlichen Schritte für die Planung der einzelnen Systeme ab.
Bei einem Prüfpfad auf einem einzelnen System-Image werden die zu prüfenden Systeme als ein Rechner behandelt. Um einen Prüfpfad auf einem einzelnen System-Image für einen Standort zu erstellen, konfigurieren Sie alle Systeme in der Installation wie folgt:
Verwenden Sie den gleichen Naming Service.
Für die Interpretierung der Prüfdatensätze werden zwei Befehle verwendet: auditreduce und praudit. Damit die Prüfdatensätze ordnungsgemäß interpretiert werden, müssen die Dateien passwd, hosts und audit_user einheitlich sein.
Verwenden Sie die gleichen Dateien audit_warn, audit_event, audit_class und audit_startup auf allen Systemen.
Verwenden Sie die gleiche audit_user-Datenbank. Die Datenbank kann sich in einem Naming Service wie NIS oder LDAP befinden.
Verwenden Sie identische Einträge flags, naflags und plugin in der Datei audit_control.
Verwenden Sie den Befehl auditconfig -lspolicy, um eine kurze Beschreibung der verfügbaren Richtlinienoptionen anzuzeigen. Standardmäßig ist nur die Richtlinie cnt aktiviert. Eine ausführliche Beschreibung erhalten Sie unter Schritt 8.
Die Auswirkungen der Richtlinienoptionen werden unter Festlegen der Prüfrichtlinien beschrieben. Weitere Informationen zum Festlegen von Prüfrichtlinien finden Sie unter So konfigurieren Sie die Prüfrichtlinie.
In vielen Fällen ist die Standardzuordnung ausreichend. Wenn jedoch neue Klassen hinzugefügt, Klassendefinitionen geändert oder der Datensatz eines bestimmten Systemaufrufs als nicht hilfreich eingestuft werden, müssen Sie möglicherweise ein Ereignis in eine andere Klasse verschieben.
Ein Beispiel finden Sie unter So ändern Sie die Klassenmitgliedschaft eines Prüfereignisses.
Der optimale Zeitpunkt zum Hinzufügen der Prüfklassen oder Ändern der Standardklassen ist vor dem Starten des Prüfservice.
Die Prüfklassenwerte der Einträge flags, naflags und plugin in der Datei audit_control gelten für alle Benutzer und Prozesse. Die im Voraus ausgewählten Klassen bestimmen, ob eine Prüfklasse auf Erfolg, auf Fehler oder beides geprüft wird.
Weitere Informationen zur Vorauswahl der Prüfklassen finden Sie unter So ändern Sie die Datei audit_control.
Wenn einige Benutzer von den systemweiten im Voraus ausgewählten Prüfklassen unterschiedlich geprüft werden sollen, ändern Sie die Einträge der einzelnen Benutzer in der Datenbank audit_user.
Ein Beispiel finden Sie unter So ändern Sie die Prüfmerkmale eines Benutzers.
Wenn der Prozentsatz des Festplattenspeichers eines Prüfdateisystems unterhalb des Wertes minfree fällt, wechselt der Dämon auditd zum nächsten verfügbaren Prüfverzeichnis. Der Dämon sendet eine Warnung, dass der untere Grenzwert überschritten wurde.
Weitere Informationen zum Festlegen des freien Festplattenspeichers, der mindestens verfügbar sein soll, finden Sie unter Beispiel 30-4.
Das Skript audit_warn wird ausgeführt, wenn Sie das Prüfsystem über eine Situation benachrichtigt, für die administrative Maßnahmen erforderlich sind. Standardmäßig sendet das Skript audit_warn eine E-Mail an den Alias audit_warn und eine Meldung an die Konsole.
Weitere Informationen zum Einrichten des Alias erhalten Sie unter So konfigurieren Sie den E-Mail-Alias audit_warn.
Wenn der Prüfpfad voll ist, funktioniert das System weiterhin. Das System zählt die übersprungenen Prüfdatensätze, zeichnet die Ereignisse jedoch nicht auf. Eine höhere Sicherheit erhalten Sie, indem Sie die Richtlinie cnt deaktivieren und die Richtlinie ahlt aktivieren. Durch die Richtlinie ahlt wird das System angehalten, wenn ein asynchrones Ereignis nicht zur Prüfwarteschlange hinzugefügt werden kann.
Eine Beschreibung dieser Richtlinienoptionen erhalten Sie unter Prüfrichtlinien für asynchrone und synchrone Ereignisse. Weitere Informationen zur Konfiguration dieser Richtlinienoptionen finden Sie unter Beispiel 30-16.
Eine Übersicht der Informationen finden Sie unter Prüfprotokolle.
Ein Beispiel finden Sie unter So konfigurieren Sie syslog-Prüfprotokolle.
|