| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
31. Prüfung bei Oracle Solaris (Referenz)
Berechtigungsprofile für Verwalten der Prüfung
Prüfung und Oracle Solaris-Zonen
Verarbeiten der Prüfungsmerkmale
Namenskonventionen für binäre Prüfdateien
Der Prüfservice verwendet folgende Dateien:
Die Datei /etc/system enthält Befehle, die vom Kernel während der Initialisierung gelesen werden, um die Systemvorgänge anzupassen. Durch die Shell-Skripten bsmconv und bsmunconv, die zur Aktivierung und Deaktivierung der Prüfung dienen, wird die Datei /etc/system geändert. Durch das Shell-Skript bsmconv wird die folgende Zeile zur Datei /etc/system hinzugefügt:
set c2audit:audit_load=1
Durch den Eintrag set c2audit:audit_load=1 wird das Kernel-Modul für die Prüfung geladen, wenn das System gebootet wird. Durch das Shell-Skript bsmunconv wird die Prüfung deaktiviert, wenn das System erneut gebootet wird. Durch den Befehl wird die Zeile c2audit aus der Datei /etc/system entfernt.
Die Datei /etc/syslog.conf wird zusammen mit dem Plugin audit_syslog.so verwendet, um Prüfdatensätze im Textformat zu speichern. Die Datei syslog.conf kann konfiguriert werden, um das Dienstprogramm syslog für die Speicherung von Prüfdatensätzen zu aktivieren. Ein Beispiel finden Sie unter So konfigurieren Sie syslog-Prüfprotokolle.
Durch die Datei /etc/security/audit_class werden die Prüfklassen definiert. Prüfklassen sind Gruppen von Prüfereignissen. Mit dem Klassennamen in der Datei audit_control können Sie die Klassen im Voraus auswählen, deren Ereignisse geprüft werden sollen. Die Klassen verwenden Präfixe, um nur fehlgeschlagene oder nur erfolgreiche Ereignisse auszuwählen. Weitere Informationen erhalten Sie unter Syntax der Prüfklassen.
Der Superuser oder ein Administrator mit einer entsprechenden Rolle kann die Definitionen der Prüfklassen ändern. Dieser Administrator kann neue Prüfklassen definieren, vorhandene Klassen umbenennen oder vorhandene Klassen anderweitig ändern, indem die Datei audit_class in einem Texteditor bearbeitet wird. Weitere Informationen erhalten Sie auf der Manpage audit_class(4).
Die Datei /etc/security/audit_control auf den einzelnen Systemen enthält Konfigurationsinformationen für den Dämon auditd. Mithilfe der Datei können die Systeme ein Remote-Prüfdateisystem einhängen, um die zugehörigen Prüfdatensätze zu speichern.
Sie können fünf verschiedene Informationstypen in der Datei audit_control speichern. Jede Zeile mit Informationen beginnt mit einem Schlüsselwort.
flags (Schlüsselwort): Steht am Anfang des Eintrags, durch den die zu prüfenden Ereignisklassen für alle Benutzer im System im Voraus ausgewählt werden. Die hier angegebenen Prüfklassen bestimmen die systemweite Maske für die Vorauswahl der Prüfung. Die Prüfklassen werden durch Kommata getrennt.
naflags (Schlüsselwort): Steht am Anfang des Eintrags, durch den die zu prüfenden Ereignisklassen im Voraus ausgewählt werden, wenn eine Aktion keinem bestimmten Benutzer zugewiesen werden kann. Die Prüfklassen werden durch Kommata getrennt. Die Ereignisklasse na gehört zu diesem Eintrag. Der Eintrag naflags kann zum Protokollieren anderer (normalerweise) zuweisbarer Ereignisklassen verwendet werden, die (in diesem Fall) nicht zugewiesen werden können. Wenn beispielsweise ein Programm einen Boot-Vorgang startet und eine Datei liest, wird durch fr im Eintrag naflags ein Datensatz für dieses Ereignis erstellt.
minfree (Schlüsselwort): Dieses Schlüsselwort ist veraltet und wird nicht mehr verwendet. Verwenden Sie das Attribut p_minfree für das Plugin audit_binfile.so.
Durch das Attribut p_minfree wird der Speicherplatz, der mindestens verfügbar sein soll, für alle Prüfdateisysteme als Prozentsatz angegeben. Der Prozentsatz muss größer oder gleich 0 sein. Der Standardwert ist 20 Prozent. Wenn ein Prüfdateisystem zu 80 Prozent voll ist, werden die Prüfdaten im nächsten verfügbaren Prüfverzeichnis gespeichert. Weitere Informationen erhalten Sie auf der Manpage audit_warn(1M).
dir (Schlüsselwort): Dieses Schlüsselwort ist veraltet und wird nicht mehr verwendet. Verwenden Sie das Attribut p_dir für das Plugin audit_binfile.so.
Durch das Attribut p_dir werden die Verzeichnisspeicherorte aufgeführt. Durch jeden Zeilenwert werden ein Prüfdateisystem und Verzeichnis definiert, die das System zum Speichern der Prüfdateien verwendet. Sie können mindestens einen Verzeichnisspeicherort angeben. Dabei ist die Reihenfolge der Werte wichtig. Der Dämon auditd erstellt die Prüfdateien in den Verzeichnissen in der angegebenen Reihenfolge. Das erste Verzeichnis entspricht dem primären Prüfverzeichnis des Systems. Das zweite Verzeichnis ist das sekundäre Prüfverzeichnis, in dem der Dämon auditd die Prüfdateien erstellt, wenn das erste Prüfverzeichnis voll ist. Es wird also das jeweils höhere Verzeichnis verwendet. Weitere Informationen erhalten Sie auf der Manpage audit(1M).
plugin (Schlüsselwort): Gibt den Plugin-Pfad für die Plugin-Module audit_binfile.so und audit_syslog.so an. Durch das Modul audit_binfile.so werden binäre Prüfdateien erstellt. Das Modul audit_syslog.so liefert eine Echtzeitkonvertierung der Oracle Solaris-Prüfdatensätze in Text. Die Prüfklassen, die im Attribut p_flags des Plugins audit_syslog.so angegeben sind, müssen ein untergeordneter Satz der im Voraus ausgewählten Prüfklassen sein.
Weitere Informationen zur Datei audit_control erhalten Sie auf der Manpage audit_control(4). Weitere Informationen zu Plugins erhalten Sie unter Prüf-Plugins und auf den Manpages audit_binfile(5) und audit_syslog(5).
Beispiel 31-2 Beispiel für Datei audit_control
Im Folgenden sehen Sie eine Beispieldatei audit_control für das System noddy. Von noddy werden zwei Prüfdateisysteme auf dem Prüfserver blinken und ein drittes Prüfdateisystem, das auf dem zweiten Prüfserver winken eingehängt ist, verwendet. Das dritte Dateisystem wird nur verwendet, wenn die Prüfdateisysteme auf blinken voll oder nicht verfügbar sind. Ein Wert von 20 Prozent für minfree bedeutet, dass das Warnungs-Skript ausgeführt wird, wenn die Dateisysteme zu 80 Prozent voll sind. Die Einstellungen legen fest, dass Anmeldungen und administrative Vorgänge geprüft werden sollen. Die Vorgänge werden auf eine fehlerhafte und erfolgreiche Ausführung geprüft. Es werden Fehler aller Arten, mit Ausnahme von Fehlern beim Erstellen eines Dateisystemobjekts, geprüft. Nicht zuweisbare Ereignisse können ebenfalls geprüft werden. Im Prüfprotokoll syslog werden weniger Prüfereignisse aufgezeichnet. Dieses Protokoll enthält Textzusammenfassungen der fehlgeschlagenen Anmeldungen und fehlgeschlagenen administrativen Vorgänge.
In der Version Solaris 10 sind die Zeilen dir und minfree veraltet und werden nicht mehr verwendet. Im folgenden Beispiel enthalten die plugin-Zeilen keinen Zeilenumbruch.
flags:lo,am,-all,^-fc naflags:lo,nt plugin:name=audit_binfile.so; p_minfree=20; p_dir=/var/audit/blinken/files, /var/audit/blinken.1/files,/var/audit/winken plugin:name=audit_syslog.so; p_flags=-lo,-am
Die Datei /etc/security/audit_event enthält die standardmäßigen Zuordnungen zwischen Prüfereignis und Prüfklasse. Durch Bearbeiten dieser Datei können Sie die Klassenzuordnungen ändern. Nach dem Ändern der Klassenzuordnungen müssen Sie das System neu booten oder den Befehl auditconfig -conf ausführen, um die geänderten Zuordnungen in den Kernel zu übernehmen. Weitere Informationen erhalten Sie auf der Manpage audit_event(4).
Durch das Skript /etc/security/audit_startup wird der Prüfservice automatisch konfiguriert, wenn das System in den Mehrbenutzermodus wechselt. Der Dämon auditd wird gestartet, nachdem vom Skript folgende Aufgaben durchgeführt wurden:
Konfigurieren der Zuordnungen zwischen Prüfereignis und Prüfklasse
Einstellen der Prüfrichtlinienoptionen
Weitere Informationen erhalten Sie auf der Manpage audit_startup(1M).
In der Datenbank /etc/security/audit_user können die systemweiten im Voraus ausgewählten Klassen für einen bestimmten Benutzer geändert werden. Durch die Klassen, die Sie zu einem Benutzereintrag in der Datenbank audit_user hinzugefügt haben, werden die Einstellungen in der Datei audit_control auf zwei Arten geändert:
Angeben von Prüfklassen, die immer für diesen Benutzer geprüft werden sollen
Angeben von Prüfklassen, die niemals für diesen Benutzer geprüft werden sollen
Jeder Benutzereintrag in der Datenbank audit_user enthält drei Felder:
username:always-audit-classes:never-audit-classes
Die Prüffelder werden in einer Sequenz verarbeitet.
Durch das Feld always-audit-classes wird die Prüfung der Klassen in diesem Feld aktiviert. Verwenden Sie dieses Feld, um systemweite Einstellungen zu ändern. Wenn Sie beispielsweise all im Feld always-audit-classes angeben, werden alle Daten für einen Benutzer geprüft.
Durch das Feld never-audit-classes wird die Prüfung der Klassen in diesem Feld deaktiviert. Verwenden Sie dieses Feld, um die Systemeinstellungen zu überschreiben. Wenn Sie all im Feld never-audit-classes angeben, wird die gesamte Prüfung für den Benutzer deaktiviert, sogar die in der Datei audit_control angegebenen Prüfklassen.
Beispiel: Sie möchten die systemweiten Prüfeinstellungen auf den Benutzer tamiko anwenden, es sei denn der Lesezugriff auf Dateisystemobjekte war erfolgreich. Beachten Sie den zweiten Doppelpunkt (:) im folgenden Eintrag audit_user:
tamiko:^+fr:no modify system defaults for fr
Der vorhergehende Eintrag bedeutet, dass alle Informationen geprüft werden sollen, mit Ausnahme von erfolgreichen Dateilesezugriffen.
Wenn Sie alle Informationen für den Benutzer tamiko mit Ausnahme von erfolgreichen Dateilesezugriffen prüfen möchten, können Sie folgenden Eintrag verwenden:
tamiko:all,^+fr:no audit everything except fr
Beispiel: Sie möchten Systemstandardwerte für erfolgreiche Dateilesezugriffe für den Benutzer tamiko überschreiben. Der folgende Eintrag bedeutet, dass alle Informationen mit Ausnahme von erfolgreichen Dateilesezugriffen geprüft werden.
tamiko:all:+fr override system defaults for fr
Hinweis - Erfolgreiche und fehlgeschlagene Ereignisse werden separat behandelt. Bei einem Prozess können mehr Prüfdatensätze für fehlgeschlagene als für erfolgreiche Ereignisse generiert werden.
Das Skript /etc/security/audit_warn sendet eine Benachrichtigung an einen E-Mail-Alias, wenn der Dämon auditd eine ungewöhnliche Bedingung beim Schreiben der Prüfdatensätze feststellt. Sie können dieses Skript Ihrem Standort entsprechend anpassen, um eine Warnung bei Bedingungen auszugeben, die möglicherweise einen Benutzereingriff erfordern. Oder Sie können eine automatische Verarbeitung dieser Bedingungen angeben. Bei allen Fehlerbedingungen wird durch das Skript audit_warn eine Meldung in syslog mit dem Schweregrad von daemon.alert ausgegeben. Mithilfe von syslog.conf können Sie die Konsolenansicht von syslog-Meldungen konfigurieren. Durch das Skript audit_warn wird ebenfalls eine Meldung an den E-Mail-Alias audit_warn gesendet. Sie können diesen Alias als Teil der Prüfkonfiguration festlegen.
Wenn der Dämon auditd die folgenden Bedingungen feststellt, wird das Skript audit_warn aufgerufen. Das Skript sendet eine E-Mail an den Alias audit_warn.
Ein Prüfverzeichnis hat den für minfree festgelegten Wert überschritten. Der Wert minfree bzw. der untere Grenzwert ist ein Prozentsatz des verfügbaren Speicherplatzes auf einem Prüfdateisystem.
Das Skript audit_warn wird mit der Zeichenfolge soft und dem Namen des Verzeichnisses, dessen verfügbarer Speicherplatz unter dem Mindestwert liegt, aufgerufen. Der Dämon auditd wechselt automatisch zum nächsten verfügbaren Verzeichnis. Der Dämon schreibt die Prüfdateien in dieses neue Verzeichnis, bis das Verzeichnis den zugehörigen Wert für minfree erreicht hat. Der Dämon auditd verwendet der Reihenfolge nach das nächste Verzeichnis, das in der Datei audit_control aufgeführt ist. Der Dämon zeichnet die Prüfdatensätze auf, bis der Grenzwert für minfree des jeweiligen Verzeichnisses erreicht ist.
Bei allen Prüfverzeichnissen ist der Schwellenwert für minfree erreicht.
Das Skript audit_warn wird durch die Zeichenfolge allsoft aufgerufen. Eine Meldung wird an die Konsole gesendet. Eine E-Mail wird ebenfalls an den Alias audit_warn gesendet.
Wenn alle Prüfverzeichnisse, die in der Datei audit_control aufgeführt sind, den zugehörigen Schwellenwert für minfree erreicht haben, wechselt der Dämon auditd zum ersten Verzeichnis zurück. Der Dämon zeichnet die Prüfdatensätze auf, bis das Verzeichnis vollständig voll ist.
Ein Prüfverzeichnis ist vollständig voll und es ist kein Speicherplatz verfügbar.
Das Skript audit_warn wird mit der Zeichenfolge hard und dem Namen des Verzeichnisses aufgerufen. Eine Meldung wird an die Konsole gesendet. Eine E-Mail wird ebenfalls an den Alias audit_warn gesendet.
Der Dämon auditd wechselt automatisch zum nächsten geeigneten Verzeichnis, das über Speicherplatz verfügt. Der Dämon auditd verwendet der Reihenfolge nach das nächste Verzeichnis, das in der Datei audit_control aufgeführt ist. Der Dämon zeichnet die Prüfdatensätze auf, bis das jeweilige Verzeichnis voll ist.
Alle Prüfverzeichnisse sind vollständig voll. Das Skript audit_warn wird mit der Zeichenfolge allhard als Argument aufgerufen.
Standardmäßig wird eine Meldung an die Konsole gesendet. Eine E-Mail wird ebenfalls an den Alias audit_warn gesendet. Prozesse, durch die normalerweise Prüfdatensätze generiert werden, treten zwar weiterhin auf, aber die Prüfdatensätze werden gezählt. Prüfdatensätze werden nicht generiert. Ein Beispiel für diese Situation finden Sie unter Beispiel 30-16 und So verhindern Sie eine Prüfpfadüberlauf.
Ein interner Fehler ist aufgetreten. Folgende interne Fehler können auftreten:
Ein Fehler bei der Syntax der Datei audit_control wurde festgestellt. Standardmäßig wird eine Meldung an die Konsole gesendet. Eine E-Mail wird ebenfalls an den Alias audit_warn gesendet.
Wenn die Prüfrichtlinie perzone festgelegt ist, wird durch die auditd-Instanz der nicht globalen Zone das audit_warn-Skript der Zone aufgerufen. Weitere Informationen erhalten Sie auf der Manpage audit_warn(1M).
Durch das Skript /etc/security/bsmconv wird der Prüfservice aktiviert. Durch den Befehl bsmunconv wird der Prüfservice deaktiviert. Nach dem Ausführen des Skripts bsmconv konfigurieren Sie die Prüfverzeichnisse und Prüfkonfigurationsdateien. Beim erneuten Booten wird die Prüfung aktiviert.
Weitere Informationen erhalten Sie auf der Manpage bsmconv(1M).
|