JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Services de sécurité
Oracle Technology Network
Bibliothque
PDF
Aperu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

4.  Contrôle de l'accès aux périphériques (tâches)

5.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

6.  Contrôle de l'accès aux fichiers (tâches)

7.  Utilisation d'Automated Security Enhancement Tool (Tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Contrôle d'accès basé sur les rôles (référence)

11.  Privilèges (tâches)

12.  Privilèges (référence)

Partie IV Services cryptographiques

13.  Structure cryptographique Oracle Solaris (présentation)

14.  Structure cryptographique Oracle Solaris (tâches)

15.  Structure de gestion des clés Oracle Solaris

Partie V Services d'authentification et communication sécurisée

16.  Utilisation des services d'authentification (tâches)

17.  Utilisation de PAM

18.  Utilisation de SASL

19.  Utilisation d'Oracle Solaris Secure Shell (tâches)

20.  Oracle Solaris Secure Shell (référence)

Partie VI Service Kerberos

21.  Introduction au service Kerberos

22.  Planification du service Kerberos

23.  Configuration du service Kerberos (tâches)

24.  Messages d'erreur et dépannage de Kerberos

25.  Administration des principaux et des stratégies Kerberos (tâches)

26.  Utilisation des applications Kerberos (tâches)

27.  Service Kerberos (référence)

Partie VII Audit Oracle Solaris

28.  Audit Oracle Solaris (présentation)

29.  Planification de l'audit Oracle Solaris

30.  Gestion de l'audit Oracle Solaris (tâches)

Audit Oracle Solaris (liste des tâches)

Configuration des fichiers d'audit (liste des tâches)

Configuration des fichiers d'audit (tâches)

Modification du fichier audit_control

Configuration des journaux d'audit syslog

Modification des caractéristiques d'audit d'un utilisateur

Ajout d'une classe d'audit

Modification de l'appartenance à une classe d'un événement d'audit

Configuration et activation du service d'audit (liste des tâches)

Configuration et activation du service d'audit (tâches)

Création des partitions pour les fichiers d'audit

Configuration de l'alias de messagerie audit_warn

Configuration de la stratégie d'audit

Activation du service d'audit

Désactivation du service d'audit

Mise à jour du service d'audit

Configuration du service d'audit dans les zones (tâches)

Configuration identique de toutes les zones pour l'audit

Configuration de l'audit par zone

Gestion des enregistrements d'audit (liste des tâches)

Gestion des enregistrements d'audit

Affichage des formats d'enregistrement d'audit

Fusion des fichiers d'audit de la piste d'audit

Sélection des événements d'audit de la piste d'audit

Affichage du contenu des fichiers d'audit binaires

Nettoyage d'un fichier d'audit not_terminated

Contrôle du dépassement de la piste d'audit

Dépannage de l'audit Oracle Solaris (tâches)

Dépannage de l'audit Oracle Solaris (liste des tâches)

Vérification de l'exécution de l'audit Oracle Solaris

Atténuation du volume des enregistrements d'audit produits

Audit de toutes les commandes par les utilisateurs

Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques

Modification d'un masque de présélection utilisateur

Suppression de certains événements de la liste d'audit

Limitation de la taille des fichiers d'audit binaires

Audit des connexions à partir d'autres systèmes d'exploitation

Audit des transferts de fichiers FTP et SFTP

31.  Audit Oracle Solaris (référence)

Glossaire

Index

Configuration du service d'audit dans les zones (tâches)

Le service d'audit effectue des audits sur la totalité du système, y compris les événements d'audit dans les zones. Un système doté de zones non globales peut auditer toutes les zones de manière identique, ou contrôler l'audit par zone. Pour de plus amples détails, reportez-vous à la section Audit sur un système à zones Oracle Solaris. Pour la planification, reportez-vous à la section Procédure de planification de l'audit par zone .

Configuration identique de toutes les zones pour l'audit

Cette procédure permet d'auditer chaque zone de manière identique. Cette méthode est celle qui requiert le temps système le moins important de ressources en administration.

  1. Configurez la zone globale pour l'audit.
    1. Effectuez les tâches de la section Configuration des fichiers d'audit (liste des tâches) .
    2. Effectuez les tâches de la section Configuration et activation du service d'audit (liste des tâches) , à l'exception des points suivants.

      • N'activez pas la stratégie d'audit perzone.

      • N'activez pas le service d'audit. Vous pouvez activer le service d'audit après avoir configuré les zones non globales pour l'audit.

  2. Copiez les fichiers de configuration d'audit de la zone globale vers chaque zone non globale.

    Copiez l'un des fichiers suivants modifiés : audit_class, audit_control, audit_event, audit_user. Ne copiez pas audit_startup ou audit_warn. Vous n'avez pas à copier des fichiers que vous n'avez pas modifiés.

    Deux options s'offrent à vous : En tant que superutilisateur, vous pouvez copier les fichiers, ou monter les fichiers en loopback. La zone non globale doit être en cours d'exécution.

    • Copiez les fichiers.
      1. À partir de la zone globale, répertoriez le répertoire /etc/security dans la zone non globale. 
        # ls /zone/zonename/etc/security/
      2. Copiez les fichiers de configuration d'audit dans le répertoire /etc/security de la zone. 
        # cp /etc/security/audit-file /zone/zonename/etc/security/audit-file

        Par la suite, si vous modifiez un fichier de configuration d'audit dans la zone globale, vous devez copier à nouveau le fichier dans les zones non globales.

    • Montez en loopback les fichiers de configuration.
      1. À partir de la zone globale, arrêtez la zone non globale. 
        # zoneadm -z non-global-zone halt
      2. Créez un montage loopback en lecture seule pour chaque fichier de configuration d'audit que vous avez modifié dans la zone globale. 
        # zonecfg -z non-global-zone
 add fs
    set special=/etc/security/audit-file
    set dir=/etc/security/audit-file
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 exit
      3. Pour valider les changements, initialisez la zone non globale. 
        # zoneadm -z non-global-zone boot

        Vous pouvez également redémarrer le système.

        Par la suite, si vous modifiez un fichier de configuration d'audit dans la zone globale, redémarrez le système pour actualiser les fichiers montés en loopback dans les zones non globales.

Exemple 30-24 Montage en loopback des fichiers de configuration d'audit

Dans cet exemple, l'administrateur système a modifié les fichiers audit_class, audit_event, audit_control, audit_user, audit_startup et audit_warn.

Les fichiers audit_startup et audit_warn sont lus dans la zone globale uniquement, de sorte qu'ils n'ont pas à être montés en loopback dans les zones non globales.

Sur ce système, machine1, l'administrateur a créé deux zones non globales, machine1–webserver et machine1–appserver. L'administrateur a terminé la personnalisation des fichiers de configuration d'audit. Si l'administrateur modifie ultérieurement les fichiers, le système sera redémarré pour valider les changements. 

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 add fs
    set special=/etc/security/audit_event
    set dir=/etc/security/audit_event
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 add fs
    set special=/etc/security/audit_control
    set dir=/etc/security/audit_control
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end 
add fs
    set special=/etc/security/audit_user
    set dir=/etc/security/audit_user
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 exit
# zonecfg -z machine1-appserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
...
 exit

Lorsque les zones sont redémarrées, les fichiers de configuration d'audit sont en lecture seule dans les zones.

Configuration de l'audit par zone

Cette procédure permet aux administrateurs de zones distinctes de contrôler le service d'audit dans leur zone. Pour obtenir la liste complète des options de stratégie, reportez-vous à la page de manuel auditconfig(1M).

  1. Dans la zone globale, configurez l'audit mais n'activez pas le service d'audit.
    1. Effectuez les tâches de la section Configuration des fichiers d'audit (liste des tâches) .
    2. Effectuez les tâches de la section Configuration et activation du service d'audit (liste des tâches) , à l'exception des points suivants.

      • Ajoutez la stratégie d'audit perzone. Pour consultez un exemple, reportez-vous à l'Exemple 30-18.

      • N'activez pas le service d'audit. Vous pouvez activer le service d'audit après la configuration des zones non globales pour l'audit.

  2. Dans chaque zone non globale, configurez les fichiers d'audit.

    Remarque - Si vous effectuez une planification pour désactiver l'audit dans la zone non globale, vous pouvez ignorer cette étape. Pour désactiver l'audit, reportez-vous à l'Exemple 30-25.

    1. Effectuez les tâches de la section Configuration des fichiers d'audit (liste des tâches) .
    2. Suivez les procédures décrites à la section Configuration et activation du service d'audit (liste des tâches) .
    3. Ne configurez pas les paramètres d'audit système.

      En particulier, n'ajoutez pas la stratégie perzone ou ahlt du fichier audit_startup de la zone non globale. N'exécutez pas la commande bsmconv à partir de la zone non globale.

    4. Activez l'audit dans votre zone.

      Lorsqu'une zone globale redémarre après la configuration de l'audit, celui-ci est automatiquement activé dans votre zone.

      Si l'administrateur de la zone globale active la stratégie d'audit perzone après l'initialisation du système, les administrateurs de zones individuelles doivent activer l'audit. Pour plus d'informations, reportez-vous à l'Exemple 30-20.

  3. Dans la zone globale, activez le service d'audit.

    Pour connaître la procédure, reportez-vous à la section Activation du service d'audit .

Exemple 30-25 Désactivation de l'audit dans une zone non globale

Cet exemple fonctionne si la zone globale a défini la stratégie d'audit perzone. L'administrateur de zone de la zone noaudit désactive l'audit pour cette zone. Étant donné que l'administrateur a prévu de désactiver l'audit, il n'a pas modifié les fichiers de configuration d'audit. 

noauditzone # svcadm disable svc:/system/auditd
Copyright © 2002, 2011, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant