JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: Sicherheitsservices
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Übersicht über die Sicherheit

1.  Sicherheitsservices (Überblick)

Teil II System-, Datei- und Gerätesicherheit

2.  Verwalten von Rechnersicherheit (Übersicht)

3.  Steuern des Zugriffs auf Systeme (Aufgaben)

4.  Steuern des Zugriffs auf Geräte (Aufgaben)

5.  Verwenden von Basic Audit Reporting Tool (Aufgaben)

6.  Steuern des Zugriffs auf Dateien (Aufgaben)

7.  Verwenden von Automated Security Enhancement Tool (Aufgaben)

Teil III Rollen, Berechtigungsprofile und Berechtigungen

8.  Verwenden von Rollen und Berechtigungen (Übersicht)

9.  Rollenbasierte Zugriffssteuerung (Aufgaben)

10.  Rollenbasierte Zugriffssteuerung (Übersicht)

11.  Berechtigungen (Aufgaben)

12.  Berechtigungen (Referenz)

Teil IV Kryptografische Services

13.  Oracle Solaris Cryptographic Framework (Übersicht)

14.  Oracle Solaris Cryptographic Framework (Aufgaben)

15.  Oracle Solaris Key Management Framework

Teil V Authentifizierungsservices und sichere Kommunikation

16.  Verwenden von Authentifizierungsservices (Aufgaben)

17.  Verwenden von PAM

18.  Verwenden von SASL

19.  Verwenden von Oracle Solaris Secure Shell (Aufgaben)

20.  Oracle Solaris Secure Shell (Referenz)

Teil VI Kerberos-Service

21.  Einführung zum Kerberos-Service

22.  Planen des Kerberos-Service

23.  Konfigurieren des Kerberos-Service (Aufgaben)

24.  Kerberos-Fehlermeldungen und -Fehlerbehebung

25.  Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)

26.  Verwenden von Kerberos-Anwendungen (Aufgaben)

27.  Der Kerberos-Service (Referenz)

Teil VII Prüfung bei Oracle Solaris

28.  Prüfung bei Oracle Solaris (Übersicht)

29.  Planen der Oracle Solaris-Prüfung

30.  Verwalten der Oracle Solaris-Prüfung (Aufgaben)

Prüfung bei Oracle Solaris (Übersicht der Schritte)

Konfigurieren der Prüfdateien (Übersicht der Schritte)

Konfigurieren von Prüfdateien (Aufgaben)

So ändern Sie die Datei audit_control

So konfigurieren Sie syslog-Prüfprotokolle

So ändern Sie die Prüfmerkmale eines Benutzers

So fügen Sie eine Prüfklasse hinzu

So ändern Sie die Klassenmitgliedschaft eines Prüfereignisses

Konfigurieren und Aktivieren des Prüfservice (Übersicht der Schritte)

Konfigurieren und Aktivieren des Prüfservice (Aufgaben)

So erstellen Sie Partitionen für Prüfdateien

So konfigurieren Sie den E-Mail-Alias audit_warn

So konfigurieren Sie die Prüfrichtlinie

So aktivieren Sie den Prüfservice

So deaktivieren Sie den Prüfservice

So aktualisieren Sie den Prüfservice

Konfigurieren des Prüfservice in Zonen (Aufgaben)

So können Sie alle Zonen für die Prüfung identisch konfigurieren

So konfigurieren Sie eine zonenweise Prüfung

Verwalten der Prüfdatensätze (Übersicht der Schritte)

Verwalten der Prüfdatensätze

So zeigen Sie Prüfdatensatzformate an

So führen Sie Prüfdateien aus dem Prüfpfad zusammen

So wählen Sie Prüfereignisse aus dem Prüfpfad aus

So zeigen Sie den Inhalt der binären Prüfdateien an

So bereinigen Sie eine Prüfdatei des Typs not_terminated

So verhindern Sie eine Prüfpfadüberlauf

Fehlerbehebung bei der Oracle Solaris-Prüfung (Aufgaben)

Fehlerbehebung bei der Oracle Solaris-Prüfung (Übersicht der Schritte)

So können Sie die Ausführung der Oracle Solaris-Prüfung feststellen

So verringern Sie den Umfang der erstellten Prüfdatensätze

So prüfen Sie alle Befehle der Benutzer

So suchen Sie nach Prüfdatensätzen der Änderungen an bestimmten Dateien

So ändern Sie die Vorauswahlmaske eines Benutzers

So verhindern Sie die Prüfung bestimmter Ereignisse

So beschränken Sie die Größe binärer Prüfdateien

So prüfen Sie Anmeldungen von anderen Betriebssystemen

So prüfen Sie FTP- und SFTP-Dateiübertragungen

31.  Prüfung bei Oracle Solaris (Referenz)

Glossar

Index

Konfigurieren des Prüfservice in Zonen (Aufgaben)

Durch den Prüfservice wird das gesamte System geprüft, einschließlich der Prüfereignisse in Zonen. Auf einem System, auf dem nicht globale Zonen installiert sind, kann die Prüfung identisch für alle Zonen oder pro Zone durchgeführt werden. Weitere Informationen erhalten Sie unter Prüfung auf Systemen mit Oracle Solaris-Zonen. Weitere Informationen zur Planung erhalten Sie unter So planen Sie die Prüfung der Zonen.

So können Sie alle Zonen für die Prüfung identisch konfigurieren

Durch dieses Verfahren können identische Prüfungen für jede Zone durchgeführt werden. Diese Methode erfordert den geringsten Computeraufwand und die geringsten administrativen Ressourcen.

  1. Konfigurieren Sie die globale Zone für die Prüfung.
    1. Führen Sie die Aufgaben unter Konfigurieren der Prüfdateien (Übersicht der Schritte) durch.
    2. Führen Sie die Aufgaben unter Konfigurieren und Aktivieren des Prüfservice (Übersicht der Schritte) durch. Beachten Sie dabei folgende Ausnahmen:

      • Aktivieren Sie nicht die Prüfrichtlinie perzone.

      • Aktivieren Sie nicht den Prüfservice. Aktivieren Sie den Prüfservice, nachdem Sie die nicht globalen Zonen für die Prüfung konfiguriert haben.

  2. Kopieren Sie die Prüfkonfigurationsdateien von der globalen Zone in alle nicht globalen Zonen.

    Kopieren Sie eine der folgenden bearbeiteten Dateien: audit_class, audit_control, audit_event und audit_user. Kopieren Sie nicht audit_startup oder audit_warn. Sie brauchen Dateien, die nicht bearbeitet wurden, nicht zu kopieren.

    Es sind folgende zwei Möglichkeiten verfügbar. Als Superuser können Sie die Dateien kopieren oder die Dateien über Loopback einhängen. Die nicht globale Zone muss ausgeführt werden.

    • Kopieren Sie die Dateien.
      1. Führen Sie über die globale Zone das Verzeichnis /etc/security in der nicht globalen Zone auf.
        # ls /zone/zonename/etc/security/
      2. Kopieren Sie die Prüfkonfigurationsdateien in das Verzeichnis /etc/security der Zone.
        # cp /etc/security/audit-file /zone/zonename/etc/security/audit-file

        Wenn Sie zu einem späteren Zeitpunkt eine Prüfkonfigurationsdatei in der globalen Zone ändern, kopieren Sie die Datei erneut in die nicht globalen Zonen.

    • Hängen Sie die Konfigurationsdateien über Loopback ein.
      1. Halten Sie über die globale Zone die nicht globale Zone an. 
        # zoneadm -z non-global-zone halt
      2. Erstellen Sie ein Loopback-Einhängen mit Lesezugriff für jede Prüfkonfigurationsdatei, die Sie in der globalen Zone geändert haben.
        # zonecfg -z non-global-zone
 add fs
    set special=/etc/security/audit-file
    set dir=/etc/security/audit-file
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 exit
      3. Damit die Änderungen übernommen werden, booten Sie die nicht globale Zone. 
        # zoneadm -z non-global-zone boot

        Stattdessen können Sie auch das System neu booten.

        Wenn Sie zu einem späteren Zeitpunkt eine Prüfkonfigurationsdatei in der globalen Zone ändern, booten Sie das System neu, um die über Loopback eingehängten Dateien in den nicht globalen Zonen zu aktualisieren.

Beispiel 30-24 Loopback-Einhängen der Prüfkonfigurationsdateien

In diesem Beispiel hat der Systemadministrator die Dateien audit_class, audit_event, audit_control, audit_user, audit_startup und audit_warn geändert.

Die Dateien audit_startup und audit_warn werden nur in der globalen Zone gelesen, sodass kein Loopback-Einhängen in den nicht globalen Zonen erforderlich ist.

In diesem System (machine1) hat der Administrator zwei nicht globale Zonen (machine1–webserver und machine1–appserver) erstellt. Der Administrator hat das Anpassen der Prüfkonfigurationsdateien abgeschlossen. Wenn der Administrator die Dateien zu einem späteren Zeitpunkt ändert, wird das System erneut gebootet, um die Änderungen zu übernehmen.

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 add fs
    set special=/etc/security/audit_event
    set dir=/etc/security/audit_event
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 add fs
    set special=/etc/security/audit_control
    set dir=/etc/security/audit_control
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end 
add fs
    set special=/etc/security/audit_user
    set dir=/etc/security/audit_user
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 exit
# zonecfg -z machine1-appserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
...
 exit

Nach dem Neubooten der Zonen besteht für die Prüfkonfigurationsdateien in den Zonen nur Lesezugriff.

So konfigurieren Sie eine zonenweise Prüfung

Durch dieses Verfahren können die jeweiligen Zonenadministratoren den Prüfservice in ihren Zonen steuern. Eine vollständige Liste der Richtlinienoptionen erhalten Sie auf der Manpage auditconfig(1M).

  1. Konfigurieren Sie die Prüfung in der globalen Zone, aktivieren Sie jedoch den Prüfservice nicht.
    1. Führen Sie die Aufgaben unter Konfigurieren der Prüfdateien (Übersicht der Schritte) durch.
    2. Führen Sie die Aufgaben unter Konfigurieren und Aktivieren des Prüfservice (Übersicht der Schritte) durch. Beachten Sie dabei folgende Ausnahmen:

      • Fügen Sie die Prüfrichtlinie perzone hinzu. Ein Beispiel erhalten Sie unter Beispiel 30-18.

      • Aktivieren Sie nicht den Prüfservice. Sie aktivieren den Prüfservice, nachdem die nicht globalen Zonen für die Prüfung konfiguriert wurden.

  2. Konfigurieren Sie die Prüfdateien in den nicht globalen Zonen.

    Hinweis - Wenn Sie die Prüfung in der nicht globalen Zone deaktivieren möchten, können Sie diesen Schritt überspringen. Weitere Informationen zum Deaktivieren der Prüfung erhalten Sie unter Beispiel 30-25.

    1. Führen Sie die Aufgaben unter Konfigurieren der Prüfdateien (Übersicht der Schritte) durch.
    2. Führen Sie die unter Konfigurieren und Aktivieren des Prüfservice (Übersicht der Schritte) beschriebenen Verfahren durch.
    3. Konfigurieren Sie keine systemweiten Prüfeinstellungen.

      Fügen Sie insbesondere nicht die Richtlinie perzone oder ahlt zur Datei audit_startup der nicht globalen Zone hinzu. Außerdem sollten Sie den Befehl bsmconv nicht über die nicht globale Zone ausführen.

    4. Aktivieren Sie die Prüfung in Ihrer Zone.

      Wenn die globale Zone nach dem Konfigurieren der Prüfung neu gebootet wird, wird die Prüfung in Ihrer Zone automatisch aktiviert.

      Wenn der Administrator der globalen Zone die Prüfrichtlinie perzone aktiviert, nachdem das System gebootet wurde, müssen die Administratoren der einzelnen Zonen die Prüfung aktivieren. Einzelheiten finden Sie unter Beispiel 30-20.

  3. Aktivieren Sie den Prüfservice in der globalen Zone.

    Weitere Informationen zu dem Verfahren finden Sie unter So aktivieren Sie den Prüfservice.

Beispiel 30-25 Deaktivieren der Prüfung in einer nicht globalen Zone

Dieses Beispiel kann verwendet werden, wenn die Prüfrichtlinie perzone in der globalen Zone festgelegt wurde. Der Administrator der Zone noaudit deaktiviert die Prüfung für diese Zone. Da der Administrator die Prüfung deaktivieren möchte, wurden die Prüfkonfigurationsdateien nicht bearbeitet.

noauditzone # svcadm disable svc:/system/auditd
Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor