Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Prüfung bei Oracle Solaris (Übersicht der Schritte)
Konfigurieren der Prüfdateien (Übersicht der Schritte)
Konfigurieren von Prüfdateien (Aufgaben)
So ändern Sie die Datei audit_control
So konfigurieren Sie syslog-Prüfprotokolle
So ändern Sie die Prüfmerkmale eines Benutzers
So fügen Sie eine Prüfklasse hinzu
So ändern Sie die Klassenmitgliedschaft eines Prüfereignisses
Konfigurieren und Aktivieren des Prüfservice (Übersicht der Schritte)
Konfigurieren und Aktivieren des Prüfservice (Aufgaben)
So erstellen Sie Partitionen für Prüfdateien
So konfigurieren Sie den E-Mail-Alias audit_warn
So konfigurieren Sie die Prüfrichtlinie
So aktivieren Sie den Prüfservice
So deaktivieren Sie den Prüfservice
So aktualisieren Sie den Prüfservice
Konfigurieren des Prüfservice in Zonen (Aufgaben)
So können Sie alle Zonen für die Prüfung identisch konfigurieren
Verwalten der Prüfdatensätze (Übersicht der Schritte)
So zeigen Sie Prüfdatensatzformate an
So führen Sie Prüfdateien aus dem Prüfpfad zusammen
So wählen Sie Prüfereignisse aus dem Prüfpfad aus
So zeigen Sie den Inhalt der binären Prüfdateien an
So bereinigen Sie eine Prüfdatei des Typs not_terminated
So verhindern Sie eine Prüfpfadüberlauf
Fehlerbehebung bei der Oracle Solaris-Prüfung (Aufgaben)
Fehlerbehebung bei der Oracle Solaris-Prüfung (Übersicht der Schritte)
So können Sie die Ausführung der Oracle Solaris-Prüfung feststellen
So verringern Sie den Umfang der erstellten Prüfdatensätze
So prüfen Sie alle Befehle der Benutzer
So suchen Sie nach Prüfdatensätzen der Änderungen an bestimmten Dateien
So ändern Sie die Vorauswahlmaske eines Benutzers
So verhindern Sie die Prüfung bestimmter Ereignisse
So beschränken Sie die Größe binärer Prüfdateien
So prüfen Sie Anmeldungen von anderen Betriebssystemen
So prüfen Sie FTP- und SFTP-Dateiübertragungen
Durch den Prüfservice wird das gesamte System geprüft, einschließlich der Prüfereignisse in Zonen. Auf einem System, auf dem nicht globale Zonen installiert sind, kann die Prüfung identisch für alle Zonen oder pro Zone durchgeführt werden. Weitere Informationen erhalten Sie unter Prüfung auf Systemen mit Oracle Solaris-Zonen. Weitere Informationen zur Planung erhalten Sie unter So planen Sie die Prüfung der Zonen.
Durch dieses Verfahren können identische Prüfungen für jede Zone durchgeführt werden. Diese Methode erfordert den geringsten Computeraufwand und die geringsten administrativen Ressourcen.
Aktivieren Sie nicht die Prüfrichtlinie perzone.
Aktivieren Sie nicht den Prüfservice. Aktivieren Sie den Prüfservice, nachdem Sie die nicht globalen Zonen für die Prüfung konfiguriert haben.
Kopieren Sie eine der folgenden bearbeiteten Dateien: audit_class, audit_control, audit_event und audit_user. Kopieren Sie nicht audit_startup oder audit_warn. Sie brauchen Dateien, die nicht bearbeitet wurden, nicht zu kopieren.
Es sind folgende zwei Möglichkeiten verfügbar. Als Superuser können Sie die Dateien kopieren oder die Dateien über Loopback einhängen. Die nicht globale Zone muss ausgeführt werden.
# ls /zone/zonename/etc/security/
# cp /etc/security/audit-file /zone/zonename/etc/security/audit-file
Wenn Sie zu einem späteren Zeitpunkt eine Prüfkonfigurationsdatei in der globalen Zone ändern, kopieren Sie die Datei erneut in die nicht globalen Zonen.
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z non-global-zone boot
Stattdessen können Sie auch das System neu booten.
Wenn Sie zu einem späteren Zeitpunkt eine Prüfkonfigurationsdatei in der globalen Zone ändern, booten Sie das System neu, um die über Loopback eingehängten Dateien in den nicht globalen Zonen zu aktualisieren.
Beispiel 30-24 Loopback-Einhängen der Prüfkonfigurationsdateien
In diesem Beispiel hat der Systemadministrator die Dateien audit_class, audit_event, audit_control, audit_user, audit_startup und audit_warn geändert.
Die Dateien audit_startup und audit_warn werden nur in der globalen Zone gelesen, sodass kein Loopback-Einhängen in den nicht globalen Zonen erforderlich ist.
In diesem System (machine1) hat der Administrator zwei nicht globale Zonen (machine1–webserver und machine1–appserver) erstellt. Der Administrator hat das Anpassen der Prüfkonfigurationsdateien abgeschlossen. Wenn der Administrator die Dateien zu einem späteren Zeitpunkt ändert, wird das System erneut gebootet, um die Änderungen zu übernehmen.
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_control set dir=/etc/security/audit_control set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_user set dir=/etc/security/audit_user set type=lofs add options [ro,nodevices,nosetuid] end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] end ... exit
Nach dem Neubooten der Zonen besteht für die Prüfkonfigurationsdateien in den Zonen nur Lesezugriff.
Durch dieses Verfahren können die jeweiligen Zonenadministratoren den Prüfservice in ihren Zonen steuern. Eine vollständige Liste der Richtlinienoptionen erhalten Sie auf der Manpage auditconfig(1M).
Fügen Sie die Prüfrichtlinie perzone hinzu. Ein Beispiel erhalten Sie unter Beispiel 30-18.
Aktivieren Sie nicht den Prüfservice. Sie aktivieren den Prüfservice, nachdem die nicht globalen Zonen für die Prüfung konfiguriert wurden.
Hinweis - Wenn Sie die Prüfung in der nicht globalen Zone deaktivieren möchten, können Sie diesen Schritt überspringen. Weitere Informationen zum Deaktivieren der Prüfung erhalten Sie unter Beispiel 30-25.
Fügen Sie insbesondere nicht die Richtlinie perzone oder ahlt zur Datei audit_startup der nicht globalen Zone hinzu. Außerdem sollten Sie den Befehl bsmconv nicht über die nicht globale Zone ausführen.
Wenn die globale Zone nach dem Konfigurieren der Prüfung neu gebootet wird, wird die Prüfung in Ihrer Zone automatisch aktiviert.
Wenn der Administrator der globalen Zone die Prüfrichtlinie perzone aktiviert, nachdem das System gebootet wurde, müssen die Administratoren der einzelnen Zonen die Prüfung aktivieren. Einzelheiten finden Sie unter Beispiel 30-20.
Weitere Informationen zu dem Verfahren finden Sie unter So aktivieren Sie den Prüfservice.
Beispiel 30-25 Deaktivieren der Prüfung in einer nicht globalen Zone
Dieses Beispiel kann verwendet werden, wenn die Prüfrichtlinie perzone in der globalen Zone festgelegt wurde. Der Administrator der Zone noaudit deaktiviert die Prüfung für diese Zone. Da der Administrator die Prüfung deaktivieren möchte, wurden die Prüfkonfigurationsdateien nicht bearbeitet.
noauditzone # svcadm disable svc:/system/auditd