Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Audit Oracle Solaris (liste des tâches)
Configuration des fichiers d'audit (liste des tâches)
Configuration des fichiers d'audit (tâches)
Modification du fichier audit_control
Configuration des journaux d'audit syslog
Modification des caractéristiques d'audit d'un utilisateur
Modification de l'appartenance à une classe d'un événement d'audit
Configuration et activation du service d'audit (liste des tâches)
Configuration et activation du service d'audit (tâches)
Création des partitions pour les fichiers d'audit
Configuration de l'alias de messagerie audit_warn
Configuration de la stratégie d'audit
Désactivation du service d'audit
Mise à jour du service d'audit
Configuration du service d'audit dans les zones (tâches)
Configuration identique de toutes les zones pour l'audit
Configuration de l'audit par zone
Gestion des enregistrements d'audit (liste des tâches)
Gestion des enregistrements d'audit
Affichage des formats d'enregistrement d'audit
Fusion des fichiers d'audit de la piste d'audit
Sélection des événements d'audit de la piste d'audit
Affichage du contenu des fichiers d'audit binaires
Dépannage de l'audit Oracle Solaris (tâches)
Dépannage de l'audit Oracle Solaris (liste des tâches)
Vérification de l'exécution de l'audit Oracle Solaris
Atténuation du volume des enregistrements d'audit produits
Audit de toutes les commandes par les utilisateurs
Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques
Modification d'un masque de présélection utilisateur
Suppression de certains événements de la liste d'audit
Limitation de la taille des fichiers d'audit binaires
Audit des connexions à partir d'autres systèmes d'exploitation
Audit des transferts de fichiers FTP et SFTP
En gérant la piste d'audit, vous pouvez surveiller les actions des utilisateurs de votre réseau. L'audit peut générer de grandes quantités de données. Les tâches suivantes vous indiquent comment travailler avec toutes ces données.
Pour écrire des scripts qui peuvent trouver les données d'audit que vous voulez, vous avez besoin de connaître l'ordre des jetons dans un événement d'audit. La commande bsmrecord affiche le nombre d'événements d'audit, la classe d'audit, le masque de sélection et le format d'enregistrement d'un événement d'audit.
L'option -a répertorie tous les formats d'enregistrement d'événements d'audit. L'option -h place la liste au format HTML qui peut être affiché dans un navigateur.
% bsmrecord -a -h > audit.events.html
Lorsque vous affichez le fichier *html dans un navigateur, utilisez l'outil de recherche du navigateur pour rechercher des enregistrements spécifiques.
Pour plus d'informations, reportez-vous à la page de manuel bsmrecord(1M).
Exemple 30-26 Affichage des formats d'enregistrement d'audit d'un programme
Dans cet exemple, le format de tous les enregistrements d'audit sont générés par le programme login est affiché. Les programmes login incluent rlogin, telnet, newgrp, ainsi que la connexion de rôle de la console de gestion Solaris, et Oracle Solaris Secure Shell.
% bsmrecord -p login login: logout program various See login(1) event ID 6153 AUE_logout … newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login … rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin … SMC: role login program SMC server See role login event ID 6173 AUE_role_login … /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh … telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet …
Exemple 30-27 Affichage des formats d'enregistrement d'audit d'une classe d'audit
Dans cet exemple, le format de tous les enregistrements d'audit dans la classe fd est affiché.
% bsmrecord -c fd rmdir system call rmdir See rmdir(2) event ID 48 AUE_RMDIR class fd (0x00000020) header path [attribute] subject [use_of_privilege] return unlink system call unlink See unlink(2) event ID 6 AUE_UNLINK … unlinkat system call unlinkat See openat(2) event ID 286 AUE_UNLINKAT …
En fusionnant tous les fichiers d'audit de tous les répertoires d'audit, vous pouvez analyser le contenu de la piste d'audit entière. La commande auditreduce fusionne tous les enregistrements à partir de ses fichiers d'entrée dans un seul fichier de sortie. Les fichiers d'entrée peuvent ensuite être supprimés. Lorsque le fichier de sortie est placé dans un répertoire nommé /etc/security/audit/server-name /files, la commande auditreduce peut trouver le fichier de sortie sans spécifiant le chemin d'accès complet.
Remarque - Cette procédure s'applique uniquement aux enregistrements d'audit binaires.
Ce profil fait partie des prérogatives de l'administrateur système. Vous pouvez également créer un autre rôle, qui inclut le profil Audit Review. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).
# mkdir audit-trail-directory
# chmod 700 audit-trail-directory # ls -la audit-trail-directory drwx------ 3 root sys 512 May 12 11:47 . drwxr-xr-x 4 root sys 1024 May 12 12:47 ..
Modifiez les répertoires vers audit-trail-directory et fusionnez les enregistrements d'audit dans un fichier avec un suffixe nommé. Tous les répertoires de la liste dir, dans le fichier audit_control du système local, sont fusionnés.
# cd audit-trail-directory # auditreduce -Uppercase-option -O suffix
Les options majuscules de la commande auditreduce permettent de manipuler les fichiers dans la piste d'audit. Les options majuscules sont les suivantes :
Sélectionne tous les fichiers de la piste d'audit.
Sélectionne les fichiers complets uniquement. Cette option ignore les fichiers avec le suffixe not_terminated.
Sélectionne les fichiers avec un suffixe donné. Le suffixe peut être un nom de machine ou un suffixe que vous avez spécifié pour un fichier résumé.
Crée un fichier d'audit avec des horodatages de 14 caractères pour l'heure de début et l'heure de fin, avec le suffixe suffix dans le répertoire en cours.
Exemple 30-28 Copie des fichiers d'audit pour un fichier résumé
Dans l'exemple suivant, le rôle d'administrateur système, sysadmin, copie tous les fichiers de la piste d'audit dans un fichier fusionné.
$ whoami sysadmin $ mkdir /var/audit/audit_summary.dir $ chmod 700 /var/audit/audit_summary.dir $ cd /var/audit/audit_summary.dir $ auditreduce -A -O All $ ls *All 20100827183214.20100827215318.All
Dans l'exemple suivant, seuls les fichiers sont copiés à partir de la piste d'audit dans un fichier fusionné.
$ cd /var/audit/audit_summary.dir $ auditreduce -C -O Complete $ ls *Complete 20100827183214.20100827214217.Complete
Dans l'exemple suivant, seuls les fichiers complets sont copiés à partir de la machine example1 dans un fichier fusionné.
$ cd /var/audit/audit_summary.dir $ auditreduce -M example1 -O example1summ $ ls *summ 20100827183214.20100827214217.example1summ
Exemple 30-29 Déplacement de fichiers d'audit dans un fichier résumé
L'option -D de la commande auditreduce supprime un fichier d'audit lorsque vous la copiez dans un autre emplacement. Dans l'exemple suivant, les fichiers d'audit complets d'un système sont copiés dans le répertoire résumé pour être examinés à une date ultérieure.
$ cd /var/audit/audit_summary.dir $ auditreduce -C -O daily_example1 -D example1 $ ls *example1 20100827183214.20100827214217.daily_example1
Les fichiers d'audit du système example1, entrées du fichier *daily_example1, sont supprimés lorsque cette commande se termine.
Vous pouvez filtrer les enregistrements d'audit pour les examiner. Pour obtenir la liste complète des options de filtrage, reportez-vous à la page de manuel auditreduce(1M).
Ce profil fait partie des prérogatives de l'administrateur système. Vous pouvez également créer un autre rôle, qui inclut le profil Audit Review. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).
auditreduce -lowercase-option argument [optional-file]
Argument spécifique qui nécessite une option minuscule. Par exemple, l'option -c exige un argument d'une classe d'audit, tel que ua.
Sélectionne tous les événements à une date donnée. Le format de date pour argument est aaaammjj. D'autres options de date, -b et -a, sélectionnent les événements avant et après une date particulière.
Sélectionne tous les événements attribuables à un utilisateur particulier. L'argument est un nom d'utilisateur. Une autre option utilisateur, - e, sélectionne tous les événements attribuables à un ID d'utilisateur effectif.
Sélectionne tous les événements d'une classe d'audit présélectionnée. L'argument est un nom de classe d'audit.
Sélectionne toutes les instances d'un événement d'audit. L'argument est un événement d'audit.
Nom d'un fichier d'audit.
Exemple 30-30 Association et réduction des fichiers d'audit
La commande auditreduce peut éliminer les enregistrements moins intéressants car elle combine les fichiers d'entrée. Par exemple, vous pouvez utiliser la commande auditreduce pour conserver uniquement les enregistrements de connexion et déconnexion dans les fichiers d'audit qui ont plus d'un mois. Si vous avez besoin de récupérer la piste d'audit complète, vous pouvez le faire à partir d'un support de sauvegarde.
# cd /var/audit/audit_summary.dir # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary
Exemple 30-31 Copie des enregistrements d'audit na dans un fichier résumé
Dans cet exemple, tous les enregistrements d'événements d'audit non attribuables dans la piste d'audit sont regroupés dans un seul fichier.
$ whoami sysadmin $ cd /var/audit/audit_summary.dir $ auditreduce -c na -O nasumm $ ls *nasumm 20100827183214.20100827215318.nasumm
Le fichier d'audit fusionné nasumm est horodaté avec la date de début et la date de fin des enregistrements na.
Exemple 30-32 Recherche d'événements d'audit dans un fichier d'audit spécifié
Vous pouvez sélectionner les fichiers d'audit manuellement pour rechercher uniquement l'ensemble de fichiers nommé. Par exemple, vous pouvez poursuivre le traitement du fichier *nasumm de l'exemple précédent pour trouver les événements de démarrage système. Pour ce faire, vous devez spécifier le nom du fichier comme argument final pour la commande auditreduce.
$ auditreduce -m 113 -O systemboot 20100827183214.20100827215318.nasumm 20100827183214.20100827183214.systemboot
Le fichier 20100827183214.20100827183214.systemboot ne contient que les événements d'audit du démarrage système.
Exemple 30-33 Copie des enregistrements d'audit d'un utilisateur dans un fichier résumé
Dans cet exemple, les enregistrements de la piste d'audit qui contiennent le nom d'un utilisateur particulier sont fusionnés. L'option -e trouve l'utilisateur effectif. L'option -u trouve l'utilisateur d'audit.
$ cd /var/audit/audit_summary.dir $ auditreduce -e tamiko -O tamiko
Vous pouvez rechercher des événements spécifiques dans ce fichier. L'exemple suivant permet de vérifier le moment où l'utilisateur s'est connecté et déconnecté le 7 septembre 2010, votre heure. Seuls les fichiers avec le nom d'utilisateur en tant que suffixe de fichier sont vérifiés. La forme abrégée de la date est aaaammjj.
# auditreduce -M tamiko -O tamikolo -d 20100907 -u tamiko -c lo
Exemple 30-34 Copie des enregistrements sélectionnés dans un seul fichier
Dans cet exemple, les messages de connexion et déconnexion pour un jour particulier sont sélectionnés dans la piste d'audit. Les messages sont fusionnés dans un fichier cible. Le fichier cible est écrit dans un répertoire autre que le répertoire root d'audit.
# auditreduce -c lo -d 20100827 -O /var/audit/audit_summary.dir/logins # ls /var/audit/audit_summary.dir/*logins /var/audit/audit_summary.dir/20100827183936.20100827232326.logins
La commande praudit vous permet de visualiser le contenu de fichiers d'audit binaires. Vous pouvez envoyez la sortie de la commande auditreduce ou vous pouvez lire un fichier d'audit particulier. L'option -x est utile pour un traitement supplémentaire.
Ce profil fait partie des prérogatives de l'administrateur système. Vous pouvez également créer un autre rôle, qui inclut le profil Audit Review. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).
Les exemples suivants représentent la sortie praudit depuis le même événement d'audit. La stratégie d'audit a été définie de façon à inclure les jetons sequence et trailer.
La commande praudit -s affiche les enregistrements d'audit dans un format court, un jeton par ligne. Utilisez l'option -l pour placer chaque enregistrement sur une seule ligne.
$ auditreduce -c lo | praudit -s header,101,2,AUE_rlogin,,example1,2010-10-13 11:23:31.050 -07:00 subject,jdoe,jdoe,staff,jdoe,staff,749,749,195 1234 server1 text,successful login return,success,0 sequence,1298
La commande praudit -r affiche les enregistrements d'audit au format brut, un jeton par ligne. Utilisez l'option -l pour placer chaque enregistrement sur une seule ligne.
$ auditreduce -c lo | praudit -r 21,101,2,6155,0x0000,192.168.60.83,1062021202,64408258 36,2026700,2026700,10,2026700,10,749,749,195 1234 192.168.60.17 40,successful login 39,0,0 47,1298
La commande praudit -x affiche les enregistrements d'audit au format XML, un jeton par ligne. Utilisez l'option -l pour placer la sortie XML pour un seul enregistrement sur une seule ligne.
$ auditreduce -c lo | praudit -x <record version="2" event="login - rlogin" host="example1" time="Wed Aug 27 14:53:22 PDT 2010" msec="64"> <subject audit-uid="jdoe" uid="jdoe" gid="staff" ruid="jdoe" rgid="staff" pid="749" sid="749" tid="195 1234 server1"/> <text>successful login</text> <return errval="success" retval="0"/> <sequence seq-num="1298"/> </record>
Exemple 30-35 Impression de la piste d'audit complète
À l'aide d'un tube sur la commande lp, la sortie de la piste d'audit complète est dirigée vers l'imprimante. L'imprimante doit avoir un accès limité.
# auditreduce | praudit | lp -d example.protected.printer
Exemple 30-36 Affichage d'un fichier d'audit spécifique
Dans cet exemple, un fichier de connexion résumé est examiné dans une fenêtre de terminal.
# cd /var/audit/audit_summary.dir/logins # praudit 20100827183936.20100827232326.logins | more
Exemple 30-37 Création d'enregistrements d'audit au format XML
Dans cet exemple, les enregistrements d'audit sont convertis au format XML.
# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml
Le fichier *xml peut être affiché dans un navigateur. Le contenu du fichier peut être exécuté par un script pour extraire les informations pertinentes.
Erreurs fréquentes
Un message semblable à celui-ci indique que vous ne disposez pas de tous les privilèges nécessaires pour utiliser la commande praudit :
praudit: Can't assign 20090408164827.20090408171614.example1 to stdin.
Il peut arriver qu'un démon d'audit s'arrête alors que son fichier d'audit est toujours ouvert. Ou, un serveur devient inaccessible et force la machine à passer à un nouveau serveur. Dans de tels cas, un fichier d'audit conserve la chaîne not_terminated comme horodatage de fin, même si le fichier n'est plus utilisé pour les enregistrements d'audit. Utilisez la commande auditreduce -O pour donner au fichier le bon horodatage.
# ls -R1t audit-directory*/files/* | grep not_terminated
Répertorie les fichiers dans des sous-répertoires.
Répertorie les fichiers du plus récent au plus ancien.
Affiche la liste des fichiers dans une seule colonne.
Spécifiez le nom de l'ancien fichier de la commande auditreduce -O.
# auditreduce -O system-name old-not-terminated-file
# rm system-name old-not-terminated-file
Exemple 30-38 Nettoyage de fichiers d'audit not_terminated fermés
Dans l'exemple suivant, les fichiers not_terminated sont trouvés, renommés, puis les originaux sont supprimés.
ls -R1t */files/* | grep not_terminated …/egret.1/20100908162220.not_terminated.egret …/egret.1/20100827215359.not_terminated.egret # cd */files/egret.1 # auditreduce -O egret 20100908162220.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Input (old) audit file 20100827215359.not_terminated.egret # rm 20100827215359.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned up audit file
L'horodatage de début sur le nouveau fichier reflète l'heure du premier événement d'audit dans le fichier not_terminated. L'horodatage de fin reflète l'heure du dernier événement d'audit dans le fichier.
Si votre stratégie de sécurité exige que toutes les données d'audit soient enregistrées, procédez comme suit :
Archivez les fichiers d'audit en sauvegardant les fichiers sur un support hors ligne. Vous pouvez également déplacer les fichiers vers un système de fichiers d'archive.
Si vous collectez des journaux d'audit au format texte avec l'utilitaire syslog, archivez les journaux texte. Pour plus d'informations, reportez-vous à la page de manuel logadm(1M).
Archivez les informations nécessaires pour interpréter les enregistrements d'audit ainsi que de la piste d'audit.
Vous pouvez extraire des fichiers résumés de la piste d'audit à l'aide d'options de la commande auditreduce. Les fichiers résumés contiennent uniquement les enregistrements de types spécifiés d'événements d'audit. Pour extraire les fichiers résumés, reportez-vous à l'Exemple 30-30 et l'Exemple 30-34.