Festlegen der Prüfrichtlinien

Die Prüfrichtlinie bestimmt die Merkmale der Prüfdatensätze für das lokale System. Die Richtlinienoptionen werden vom Startskript festgelegt. Das Skript bsmconv, durch das der Prüfservice aktiviert wird, erstellt das Skript /etc/security/audit_startup. Das Skript audit_startup führt den Befehl auditconfig aus, um die Prüfrichtlinie festzulegen. Weitere Informationen zum Skript erhalten Sie auf der Manpage audit_startup(1M).

Die meisten Prüfrichtlinienoptionen sind standardmäßig deaktiviert, damit der Bedarf an Speicherplatz und Systemverarbeitung so gering wie möglich gehalten wird. Mit dem Befehl auditconfig können Sie Prüfrichtlinienoptionen dynamisch aktivieren oder deaktivieren. Mit dem Skript audit_startup können Sie Richtlinienoptionen dauerhaft aktivieren oder deaktivieren.

Stellen Sie anhand der folgenden Tabelle fest, ob die Anforderungen an Ihrem Standort den zusätzlichen Aufwand rechtfertigen, der durch Aktivieren von mindestens einer Prüfrichtlinienoption entstehen würde.

Tabelle 29-1 Auswirkungen der Prüfrichtlinienoptionen

Richtlinienname	Beschreibung	Warum sollte die Richtlinienoption geändert werden?
`ahlt`	Diese Richtlinie gilt nur für asynchrone Ereignisse. Bei deaktivierter Richtlinie kann das Ereignis abgeschlossen werden, ohne dass ein Prüfdatensatz generiert wird. Bei aktivierter Richtlinie wird das System angehalten, wenn die Prüfdateisysteme voll sind. Administrative Maßnahmen sind erforderlich, um die Prüfwarteschlange zu bereinigen, Speicherplatz für Prüfdatensätze zur Verfügung zu stellen und einen Neustart durchzuführen. Diese Richtlinie kann nur in der globalen Zone aktiviert werden. Die Richtlinie wirkt sich auf alle Zonen aus.	Die Deaktivierung eignet sich, wenn die Systemverfügbarkeit Vorrang vor der Sicherheit hat. Die Aktivierung eignet sich bei einer Umgebung, in der die Sicherheit sehr wichtig ist.
`arge`	Bei deaktivierter Richtlinie sind die Umgebungsvariablen eines ausgeführten Programms nicht im Prüfdatensatz `exec` enthalten. Bei aktivierter Richtlinie werden die Umgebungsvariablen eines ausgeführten Programms zum Prüfdatensatz `exec` hinzugefügt. Der entstandene Prüfdatensatz enthält ausführlichere Informationen als bei deaktivierter Richtlinie.	Bei Deaktivierung werden weniger Informationen erfasst als bei Aktivierung. Die Aktivierung eignet sich, wenn die Prüfung für wenige Benutzer durchgeführt wird. Die Option eignet sich, wenn Sie die in den `exec`-Programmen verwendeten Umgebungsvariablen als nicht vertrauenswürdig betrachten.
`argv`	Bei deaktivierter Richtlinie sind die Argumente eines ausgeführten Programms nicht im Prüfdatensatz `exec` enthalten. Bei aktivierter Richtlinie werden die Argumente eines ausgeführten Programms zum Prüfdatensatz `exec` hinzugefügt. Der entstandene Prüfdatensatz enthält ausführlichere Informationen als bei deaktivierter Richtlinie.	Bei Deaktivierung werden weniger Informationen erfasst als bei Aktivierung. Die Aktivierung eignet sich, wenn die Prüfung für wenige Benutzer durchgeführt wird. Diese Option eignet sich ebenfalls, wenn Sie der Meinung sind, dass ungewöhnliche Programme des Typs `exec` ausgeführt werden.
`cnt`	Wenn diese Richtlinie deaktiviert ist, wird die Ausführung eines Benutzers oder einer Anwendung verhindert. Die Blockierung tritt ein, wenn keine Prüfdatensätze zum Prüfpfad hinzugefügt werden können, da kein freier Festplattenspeicherplatz verfügbar ist. Wenn diese Richtlinie deaktiviert ist, wird dieses Ereignis abgeschlossen, ohne dass ein Prüfdatensatz generiert wird. Die Richtlinie erfasst, wie viele Prüfdatensätze übersprungen wurden.	Die Deaktivierung eignet sich bei einer Umgebung, in der die Sicherheit sehr wichtig ist. Die Aktivierung eignet sich, wenn die Systemverfügbarkeit Vorrang vor der Sicherheit hat.
`group`	Wenn diese Richtlinie deaktiviert ist, wird keine Gruppenliste zu den Prüfdatensätzen hinzugefügt. Wenn die Richtlinie aktiviert ist, wird eine Gruppenliste zu jedem Prüfdatensatz als ein spezielles Token hinzugefügt.	Die Deaktivierung eignet sich normalerweise, um die Sicherheitsanforderungen eines Standorts zu erfüllen. Die Aktivierung eignet sich, wenn Sie prüfen möchten, durch welche Gruppen Prüfereignisse generiert werden.
`path`	Wenn diese Richtlinie deaktiviert ist, erfolgen die Aufzeichnungen in einem Prüfdatensatz in höchstens einem während des Systemaufrufs verwendeten Pfad. Wenn diese Richtlinie aktiviert ist, erfolgen die Aufzeichnungen in jedem mit einem Prüfereignis verwendeten Pfad in allen Prüfdatensätzen.	Durch die Deaktivierung wird höchstens ein Pfad in einem Prüfdatensatz eingefügt. Durch die Aktivierung wird jeder während eines Systemaufrufs verwendete Dateiname oder Pfad im Prüfdatensatz als ein `path`-Token hinzugefügt.
`perzone`	Wenn diese Richtlinie deaktiviert ist, wird eine einzelne Prüfkonfiguration für ein System verwendet. Ein Prüfdämon wird in der globalen Zone ausgeführt. Prüfereignisse in nicht globalen Zonen können im Prüfdatensatz festgestellt werden, indem das Prüf-Token `zonename` im Voraus ausgewählt wird. Wenn diese Richtlinie aktiviert ist, werden separate Prüfkonfiguration, Prüfwarteschlange und Prüfprotokolle für jede Zone verwendet. Eine separate Version des Prüfdämons wird in jeder Zone ausgeführt. Diese Richtlinie kann nur in der globalen Zone aktiviert werden.	Die Deaktivierung eignet sich, wenn kein bestimmter Grund für ein separates Prüfprotokoll, eine Prüfwarteschlange und einen Dämon für die einzelnen Zonen vorliegt. Die Aktivierung eignet sich, wenn Sie das System nicht effizient überwachen können, indem Sie einfach das Prüf-Token `zonename` im Voraus auswählen.
`public`	Bei deaktivierter Richtlinie werden keine schreibgeschützten Ereignisse von öffentlichen Objekten zum Prüfpfad hinzugefügt, wenn der Lesezugriff auf die Dateien im Voraus ausgewählt wurde. Prüfklassen, die schreibgeschützte Ereignisse enthalten, sind beispielsweise `fr`, `fa` und `cl`. Bei aktivierter Richtlinie werden alle schreibgeschützten Prüfereignisse öffentlicher Objekte aufgezeichnet, wenn eine geeignete Prüfklasse im Voraus ausgewählt wurde.	Die Deaktivierung eignet sich normalerweise, um die Sicherheitsanforderungen eines Standorts zu erfüllen. Die Aktivierung ist nur in seltenen Fällen geeignet.
`seq`	Wenn diese Richtlinie deaktiviert ist, wird keine Sequenznummer zu den Prüfdatensätzen hinzugefügt. Wenn diese Richtlinie aktiviert ist, wird eine Sequenznummer zu den Prüfdatensätzen hinzugefügt. Die Sequenznummer ist im Token `sequence` enthalten.	Die Deaktivierung ist ausreichend, wenn die Prüfung problemlos verläuft. Die Aktivierung eignet sich, wenn die Richtlinie `cnt` aktiviert ist. Mit der Richtlinie `seq` können Sie feststellen, ob Daten verworfen wurden.
`trail`	Wenn diese Richtlinie deaktiviert ist, wird kein `trailer`-Token zu den Prüfdatensätzen hinzugefügt. Wenn diese Richtlinie aktiviert ist, wird ein `trailer`-Token zu den Prüfdatensätzen hinzugefügt.	Durch die Deaktivierung verringert sich die Größe des Prüfdatensatzes. Durch die Aktivierung wird das Ende jedes Prüfdatensatzes mit einem `trailer`-Token gekennzeichnet. Das Token `trailer` wird oft im Zusammenhang mit dem Token `sequence` verwendet. Das Token `trailer` ermöglicht eine einfachere und präzisere Neusynchronisierung der Prüfdatensätze.
`zonename`	Wenn diese Richtlinie deaktiviert ist, wird kein `zonename`-Token zu den Prüfdatensätzen hinzugefügt. Wenn diese Richtlinie aktiviert ist, wird ein `zonename`-Token zu allen Prüfdatensätzen von einer nicht globalen Zone hinzugefügt.	Die Deaktivierung eignet sich, wenn Sie das Prüfverhalten der Zonen nicht miteinander vergleichen möchten. Die Aktivierung eignet sich, wenn Sie das Prüfverhalten der Zonen feststellen und vergleichen möchten.

Prüfrichtlinien für asynchrone und synchrone Ereignisse

Durch die Richtlinien ahlt und cnt werden die durchzuführenden Aktionen festgelegt, wenn die Prüfwarteschlange voll ist und keine weiteren Ereignisse speichern kann. Die Richtlinien sind unabhängig und miteinander verbunden. Die Kombination der Richtlinien hat folgende Auswirkungen:

-ahlt +cnt ist die standardmäßige Richtlinie, die übersprungen wird. Diese Standardwerte ermöglichen die Verarbeitung eines geprüften Ereignisses, auch wenn das Ereignis nicht protokolliert werden kann.

Die Richtlinie -ahlt legt fest, dass, wenn ein Prüfdatensatz eines asynchronen Ereignisses nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, das System die Anzahl der Ereignisse zählt und die Verarbeitung fortsetzt. In der globalen Zone wird durch den Zähler as_dropped die Anzahl aufgezeichnet.

Die Richtlinie +cnt legt fest, dass, wenn ein synchrones Ereignis eintritt und nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, das System das Ereignis zählt und die Verarbeitung fortsetzt. Der Zähler as_dropped der Zone erfasst die Anzahl.

Die Konfiguration -ahlt +cnt wird normalerweise an Standorten verwendet, an denen die Verarbeitung fortgesetzt werden muss, auch wenn durch das Fortsetzen der Verarbeitung die Prüfdatensätze verloren gehen könnten. Das Feld auditstatdrop zeigt die Anzahl der Prüfdatensätze, die in einer Zone übersprungen wurden.
Die Richtlinie +ahlt -cnt legt fest, dass die Verarbeitung angehalten wird, wenn ein Ereignis nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann.

Die Richtlinie +ahlt legt fest, dass, wenn ein Prüfdatensatz eines asynchronen Ereignisses nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, die gesamte Verarbeitung angehalten wird. Das System wird in einen Alarmzustand versetzt. Das asynchrone Ereignis ist nicht in der Prüfwarteschlange enthalten und muss von den Zeigern im Aufruf-Stack wiederhergestellt werden.

Die Richtlinie -cnt legt fest, dass, wenn ein synchrones Ereignis nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, der Thread, der das Ereignis zustellen möchte, blockiert wird. Der Thread wird zu einer Passivwarteschlange hinzugefügt, bis Prüfbereich verfügbar ist. Es wird keine Zählung durchgeführt. Die Programme scheinen blockiert zu sein, bis Prüfbereich verfügbar ist.

Die Konfiguration +ahlt -cnt wird normalerweise an Standorten verwendet, bei denen ein Datensatz der einzelnen Prüfereignisse Vorrang vor der Systemverfügbarkeit hat. Die Programme scheinen blockiert zu sein, bis Prüfbereich verfügbar ist. Das Feld auditstat wblk zeigt, wie oft Threads blockiert wurden.

Wenn jedoch ein asynchrones Ereignis eintritt, löst dies den Alarmzustand und Ausfall des Systems aus. Die Kernel-Warteschlange der Prüfereignisse kann aus einem Speicherabzug manuell wiederhergestellt werden. Das asynchrone Ereignis ist nicht in der Prüfwarteschlange enthalten und muss von den Zeigern im Aufruf-Stack wiederhergestellt werden.
Die Richtlinie -ahlt -cnt legt fest, dass, wenn ein asynchrones Ereignis nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, das Ereignis gezählt und die Verarbeitung fortgesetzt wird. Wenn ein synchrones Ereignis nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, wird der Thread, der das Ereignis zustellen möchte, blockiert. Der Thread wird zu einer Passivwarteschlange hinzugefügt, bis Prüfbereich verfügbar ist. Es wird keine Zählung durchgeführt. Die Programme scheinen blockiert zu sein, bis Prüfbereich verfügbar ist.

Die Konfiguration -ahlt -cnt wird normalerweise an Standorten verwendet, an denen die Aufzeichnung aller synchronen Prüfereignisse Vorrang vor möglichem Verlust asynchroner Prüfdatensätze hat. Das Feld auditstat wblk zeigt, wie oft Threads blockiert wurden.
Die Richtlinie +ahlt +cnt legt fest, dass, wenn ein asynchrones Ereignis nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, das System in einen Alarmzustand versetzt wird. Wenn ein synchrones Ereignis nicht zur Kernel-Prüfwarteschlange hinzugefügt werden kann, zählt das System das Ereignis und setzt die Verarbeitung fort.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices