Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Audit Oracle Solaris (liste des tâches)
Configuration des fichiers d'audit (liste des tâches)
Configuration des fichiers d'audit (tâches)
Modification du fichier audit_control
Configuration des journaux d'audit syslog
Modification des caractéristiques d'audit d'un utilisateur
Modification de l'appartenance à une classe d'un événement d'audit
Configuration et activation du service d'audit (liste des tâches)
Configuration et activation du service d'audit (tâches)
Création des partitions pour les fichiers d'audit
Configuration de l'alias de messagerie audit_warn
Configuration de la stratégie d'audit
Désactivation du service d'audit
Mise à jour du service d'audit
Configuration du service d'audit dans les zones (tâches)
Gestion des enregistrements d'audit (liste des tâches)
Gestion des enregistrements d'audit
Affichage des formats d'enregistrement d'audit
Fusion des fichiers d'audit de la piste d'audit
Sélection des événements d'audit de la piste d'audit
Affichage du contenu des fichiers d'audit binaires
Nettoyage d'un fichier d'audit not_terminated
Contrôle du dépassement de la piste d'audit
Dépannage de l'audit Oracle Solaris (tâches)
Dépannage de l'audit Oracle Solaris (liste des tâches)
Vérification de l'exécution de l'audit Oracle Solaris
Atténuation du volume des enregistrements d'audit produits
Audit de toutes les commandes par les utilisateurs
Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques
Modification d'un masque de présélection utilisateur
Suppression de certains événements de la liste d'audit
Limitation de la taille des fichiers d'audit binaires
Audit des connexions à partir d'autres systèmes d'exploitation
Audit des transferts de fichiers FTP et SFTP
Le service d'audit effectue des audits sur la totalité du système, y compris les événements d'audit dans les zones. Un système doté de zones non globales peut auditer toutes les zones de manière identique, ou contrôler l'audit par zone. Pour de plus amples détails, reportez-vous à la section Audit sur un système à zones Oracle Solaris. Pour la planification, reportez-vous à la section Procédure de planification de l'audit par zone .
Cette procédure permet d'auditer chaque zone de manière identique. Cette méthode est celle qui requiert le temps système le moins important de ressources en administration.
N'activez pas la stratégie d'audit perzone.
N'activez pas le service d'audit. Vous pouvez activer le service d'audit après avoir configuré les zones non globales pour l'audit.
Copiez l'un des fichiers suivants modifiés : audit_class, audit_control, audit_event, audit_user. Ne copiez pas audit_startup ou audit_warn. Vous n'avez pas à copier des fichiers que vous n'avez pas modifiés.
Deux options s'offrent à vous : En tant que superutilisateur, vous pouvez copier les fichiers, ou monter les fichiers en loopback. La zone non globale doit être en cours d'exécution.
# ls /zone/zonename/etc/security/
# cp /etc/security/audit-file /zone/zonename/etc/security/audit-file
Par la suite, si vous modifiez un fichier de configuration d'audit dans la zone globale, vous devez copier à nouveau le fichier dans les zones non globales.
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z non-global-zone boot
Vous pouvez également redémarrer le système.
Par la suite, si vous modifiez un fichier de configuration d'audit dans la zone globale, redémarrez le système pour actualiser les fichiers montés en loopback dans les zones non globales.
Exemple 30-24 Montage en loopback des fichiers de configuration d'audit
Dans cet exemple, l'administrateur système a modifié les fichiers audit_class, audit_event, audit_control, audit_user, audit_startup et audit_warn.
Les fichiers audit_startup et audit_warn sont lus dans la zone globale uniquement, de sorte qu'ils n'ont pas à être montés en loopback dans les zones non globales.
Sur ce système, machine1, l'administrateur a créé deux zones non globales, machine1–webserver et machine1–appserver. L'administrateur a terminé la personnalisation des fichiers de configuration d'audit. Si l'administrateur modifie ultérieurement les fichiers, le système sera redémarré pour valider les changements.
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_control set dir=/etc/security/audit_control set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_user set dir=/etc/security/audit_user set type=lofs add options [ro,nodevices,nosetuid] end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] end ... exit
Lorsque les zones sont redémarrées, les fichiers de configuration d'audit sont en lecture seule dans les zones.
Cette procédure permet aux administrateurs de zones distinctes de contrôler le service d'audit dans leur zone. Pour obtenir la liste complète des options de stratégie, reportez-vous à la page de manuel auditconfig(1M).
Ajoutez la stratégie d'audit perzone. Pour consultez un exemple, reportez-vous à l'Exemple 30-18.
N'activez pas le service d'audit. Vous pouvez activer le service d'audit après la configuration des zones non globales pour l'audit.
Remarque - Si vous effectuez une planification pour désactiver l'audit dans la zone non globale, vous pouvez ignorer cette étape. Pour désactiver l'audit, reportez-vous à l'Exemple 30-25.
En particulier, n'ajoutez pas la stratégie perzone ou ahlt du fichier audit_startup de la zone non globale. N'exécutez pas la commande bsmconv à partir de la zone non globale.
Lorsqu'une zone globale redémarre après la configuration de l'audit, celui-ci est automatiquement activé dans votre zone.
Si l'administrateur de la zone globale active la stratégie d'audit perzone après l'initialisation du système, les administrateurs de zones individuelles doivent activer l'audit. Pour plus d'informations, reportez-vous à l'Exemple 30-20.
Pour connaître la procédure, reportez-vous à la section Activation du service d'audit .
Exemple 30-25 Désactivation de l'audit dans une zone non globale
Cet exemple fonctionne si la zone globale a défini la stratégie d'audit perzone. L'administrateur de zone de la zone noaudit désactive l'audit pour cette zone. Étant donné que l'administrateur a prévu de désactiver l'audit, il n'a pas modifié les fichiers de configuration d'audit.
noauditzone # svcadm disable svc:/system/auditd