Détermination de la stratégie d'audit

La stratégie d'audit détermine les caractéristiques des enregistrements d'audit pour le système local. Les options de stratégie sont définies par un script de démarrage. Le script bsmconv, qui active le service d'audit, crée le script /etc/security/audit_startup. Le script audit_startup exécute la commande auditconfig pour établir la stratégie d'audit. Pour plus de détails sur le script, reportez-vous à la page de manuel audit_startup(1M).

La plupart des options de la stratégie d'audit sont désactivées par défaut afin de réduire les exigences en matière de stockage et les demandes de traitement du système. Vous pouvez activer et désactiver dynamiquement les options de la stratégie d'audit à l'aide de la commande auditconfig . Vous pouvez activer et désactiver de manière permanente les options de stratégie à l'aide du script audit_startup.

Utilisez le tableau suivant pour déterminer si les besoins de votre site justifient le temps système supplémentaire résultant de l'activation d'une ou plusieurs options de stratégie d'audit.

Tableau 29-1 Effets des options de stratégie d'audit

Nom de la stratégie	Description	Pourquoi modifier l'option de stratégie
`ahlt`	Cette stratégie s'applique aux événements asynchrones uniquement. Lorsqu'elle est désactivée, cette stratégie permet à l'événement de se terminer sans générer d'enregistrement d'audit. Lorsqu'elle est activée, cette stratégie arrête le système lorsque les systèmes de fichiers d'audit sont pleins. L'intervention de l'administrateur est nécessaire pour nettoyer la file d'attente de l'audit, libérer de l'espace disponible pour les enregistrements d'audit, puis redémarrer l'ordinateur. Cette stratégie ne peut être activée que dans la zone globale. La stratégie affecte toutes les zones.	L'option désactivée est judicieuse lorsque la disponibilité du système est plus importante que la sécurité. L'option activée est opportune dans un environnement où la sécurité est primordiale.
`arge`	Lorsqu'elle est désactivée, cette stratégie omet les variables d'environnement d'un programme exécuté dans l'enregistrement d'audit `exec`. Lorsqu'elle est désactivée, cette stratégie ajoute les variables d'environnement d'un programme exécuté à l'enregistrement d'audit `exec`. Les enregistrements d'audit qui en résultent contiennent beaucoup plus de détails que lorsque cette stratégie est désactivée.	L'option désactivée collecte beaucoup moins d'informations que l'option activée. L'option activée est pratique lorsque vous auditez un petit nombre d'utilisateurs. L'option est également utile lorsque vous avez des doutes concernant les variables d'environnement utilisées dans les programmes `exec`.
`argv`	Lorsqu'elle est désactivée, cette stratégie omet les arguments d'un programme exécuté dans l'enregistrement d'audit `exec`. Lorsqu'elle est activée, cette stratégie ajoute les arguments d'un programme exécuté pour l'enregistrement d'audit `exec`. Les enregistrements d'audit qui en résultent contiennent beaucoup plus de détails que lorsque cette stratégie est désactivée.	L'option désactivée collecte beaucoup moins d'informations que l'option activée. L'option activée est pratique lorsque vous auditez un petit nombre d'utilisateurs. L'option est également utile lorsque vous avez des raisons de penser que des programmes `exec` inhabituels sont exécutés.
`cnt`	Lorsqu'elle est désactivée, cette stratégie bloque un utilisateur ou l'exécution d'une application. Le blocage se produit lorsque des enregistrements d'audit ne peuvent pas être ajoutés à la piste d'audit car aucun espace disque n'est disponible. Lorsqu'elle est désactivée, cette stratégie permet à l'événement de se terminer sans générer d'enregistrement d'audit. Cette stratégie comptabilise les enregistrements d'audit qui sont supprimés.	L'option désactivée est opportune dans un environnement où la sécurité est primordiale. L'option activée est judicieuse lorsque la disponibilité du système est plus importante que la sécurité.
`group`	Lorsqu'elle est désactivée, cette stratégie n'ajoute pas de liste de groupes aux enregistrements d'audit. Lorsqu'elle est activée, cette stratégie ajoute une liste de groupes à chaque enregistrement d'audit en tant que jeton spécial.	L'option désactivée répond généralement aux exigences de sécurité du site. L'option activée est utile lorsque vous avez besoin d'auditer les groupes générant des événements d'audit.
`path`	Lorsqu'elle est désactivée, cette stratégie consigne dans un enregistrement d'audit au maximum un chemin utilisé au cours d'un appel système. Lorsqu'elle est activée, cette stratégie enregistre chaque chemin d'accès utilisé en association avec un événement d'audit pour chaque enregistrement d'audit.	L'option désactivée place au maximum un chemin d'accès dans un enregistrement d'audit. L'option activée entre chaque nom de fichier ou chemin d'accès utilisé au cours d'un appel système dans l'enregistrement d'audit en tant que jeton `path`.
`perzone`	Lorsqu'elle est désactivée, cette stratégie conserve une seule configuration d'audit pour un système. Un démon d'audit s'exécute dans la zone globale. Les événements d'audit dans les zones non globales peuvent être situés dans l'enregistrement d'audit en présélectionnant le jeton d'audit `zonename`. Lorsqu'elle est activée, cette stratégie conserve une configuration d'audit, une file d'attente d'audit et des journaux d'audit distincts pour chaque zone. Un démon d'audit distinct s'exécute dans chaque zone. Cette stratégie ne peut être activée que dans la zone globale.	L'option désactivée est utile lorsque vous n'avez aucune raison particulière de conserver un journal d'audit, une file d'attente et un démon distincts pour chaque zone. L'option activée est opportune lorsque vous ne pouvez pas contrôler votre système efficacement en présélectionnant simplement le jeton d'audit `zonename`.
`public`	Lorsqu'elle est désactivée, cette stratégie n'ajoute pas d'événements en lecture seule d'objets publics à la piste d'audit lorsque la lecture de fichiers est présélectionnée. Les classes d'audit contenant des événements en lecture seule incluent les classes `fr`, `fa` et `cl`. Lorsqu'elle est activée, cette stratégie enregistre tous les événements d'audit en lecture seule d'objets publics si une classe d'audit appropriée est présélectionnée.	L'option désactivée répond généralement aux exigences de sécurité du site. L'option activée est rarement utilisée.
`seq`	Lorsqu'elle est désactivée, cette stratégie n'ajoute pas de numéro de séquence à chaque enregistrement d'audit. Lorsqu'elle est activée, cette stratégie ajoute un numéro de séquence à chaque enregistrement d'audit. Le jeton `sequence` contient le numéro de séquence.	L'option désactivée est suffisante lorsque l'audit s'exécute correctement. L'option activée est utile lorsque la stratégie `cnt` est activée. La stratégie `seq` vous permet de déterminer si des données ont été supprimées.
`trail`	Lorsqu'elle est désactivée, cette stratégie n'ajoute pas de jeton `trailer` aux enregistrements d'audit. Lorsqu'elle est activée, cette stratégie ajoute un jeton `trailer` à chaque enregistrement d'audit.	L'option désactivée crée un enregistrement d'audit de plus petite taille. L'option activée marque clairement la fin de chaque enregistrement d'audit avec un jeton `trailer`. Le jeton `trailer` est souvent utilisé conjointement au jeton `sequence`. Le jeton `trailer` assure une resynchronisation plus facile et plus précise des enregistrements d'audit.
`zonename`	Lorsqu'elle est désactivée, cette stratégie n'inclut pas de jeton `zonename` dans les enregistrements d'audit. Lorsqu'elle est activée, cette stratégie comprend un `zonename` jeton dans chaque enregistrement d'audit à partir d'une zone non globale.	L'option désactivée est utile lorsque vous n'avez pas besoin de comparer le comportement d'audit des différentes zones. L'option activé est utile lorsque vous souhaitez isoler et comparer le comportement d'audit des différentes zones.

Stratégies d'audit des événements asynchrones et synchrones

Les stratégies ahlt et cnt déterminent ce qui se passe lorsque la file d'attente de l'audit est pleine et ne peut plus accepter d'événements. Les stratégies sont indépendantes et associées. Les combinaisons de ces stratégies ont les effets suivants :

-ahlt +cnt est la stratégie adoptée par défaut. Cette valeur par défaut permet à un événement audité d'être traité même s'il ne peut pas être consigné.

La stratégie -ahlt indique que si un enregistrement d'audit d'un événement asynchrone ne peut pas être placé dans la file d'attente d'audit du noyau, le système comptabilise les événements et poursuit le traitement. Dans la zone globale, le compteur as_dropped enregistre le nombre correspondant.

La stratégie +cnt indique que si un événement synchrone survient et ne peut pas être placé dans la file d'attente d'audit du noyau, le système comptabilise l'événement et poursuit le traitement. Le compteur as_dropped de la zone enregistre le nombre correspondant.

La configuration -ahlt +cnt est généralement utilisée sur les sites où le traitement doit se poursuivre, même si celui-ci peut entraîner une perte d'enregistrements d'audit. Les champs auditstatdrop indiquent le nombre d'enregistrements d'audit supprimés dans une zone.
La stratégie +ahlt -cnt indique que le traitement s'arrête lorsqu'un événement ne peut pas être ajouté à la file d'attente d'audit du noyau.

La stratégie +ahlt indique que si un enregistrement d'audit d'un événement asynchrone ne peut pas être placé dans la file d'attente d'audit du noyau, toutes les opérations de traitement sont arrêtées. Le système panique. L'événement asynchrone ne sera pas dans la file d'attente de l'audit et doit être récupéré à partir de pointeurs sur la pile des appels.

La stratégie -cnt indique que, si un événement synchrone ne peut pas être placé dans la file d'attente d'audit du noyau, le thread tentant de fournir l'événement sera bloqué. Le thread est placé dans une file d'attente de mise en veille jusqu'à ce que de l'espace d'audit devienne disponible. Aucun compte n'est conservé. Des programmes peuvent sembler bloqués jusqu'à ce que de l'espace d'audit devienne disponible.

La configuration +ahlt -cnt est généralement utilisée dans les sites où un enregistrement de chaque événement d'audit est prioritaire sur la disponibilité du système. Des programmes semblent être bloqués jusqu'à ce que de l'espace d'audit devienne disponible. Le champ auditstat wblk indique à combien de reprises des threads ont été bloqués.

Toutefois, si un événement asynchrone se produit, le système va paniquer, entraînant une interruption de service. La file d'attente du noyau des événements d'audit peut être restaurée manuellement partir d'un vidage mémoire enregistré. L'événement asynchrone ne sera pas dans la file d'attente de l'audit et doit être récupéré à partir de pointeurs sur la pile des appels.
La stratégie -ahlt -cnt indique que si un événement asynchrone ne peut pas être placé dans la file d'attente d'audit du noyau, l'événement sera comptabilisé et le traitement poursuivi. Lorsqu'un événement synchrone ne peut pas être placé dans la file d'attente d'audit du noyau, le thread tentant de fournir l'événement sera bloqué. Le thread est placé dans une file d'attente de mise en veille jusqu'à ce que de l'espace d'audit devienne disponible. Aucun compte n'est conservé. Des programmes peuvent sembler bloqués jusqu'à ce que de l'espace d'audit devienne disponible.

La configuration -ahlt -cnt est généralement utilisée dans les sites où l'enregistrement de tous les événements d'audit synchrones est prioritaire sur la perte potentielle d'enregistrements d'audit asynchrones. Le champ auditstat wblk indique à combien de reprises des threads ont été bloqués.
La stratégie +ahlt +cnt indique que si un événement asynchrone ne peut pas être placé dans la file d'attente d'audit du noyau, le système panique. Si un événement asynchrone ne peut pas être placé dans la file d'attente d'audit du noyau, le système comptabilise l'événement et poursuit le traitement.

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration système : Services de sécurité