JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Solaris のシステム管理 (セキュリティサービス)     Oracle Solaris 10 8/11 Information Library (日本語)
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

3.  システムアクセスの制御 (作業)

4.  デバイスアクセスの制御 (作業)

5.  基本監査報告機能の使用方法 (作業)

6.  ファイルアクセスの制御 (作業)

7.  自動セキュリティー拡張ツールの使用 (手順)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割によるアクセス制御の使用 (手順)

10.  役割によるアクセス制御 (参照)

11.  特権 (手順)

12.  特権 (参照)

パート IV 暗号化サービス

13.  Oracle Solaris の暗号化フレームワーク (概要)

14.  Oracle Solaris の暗号化フレームワーク (手順)

15.  Oracle Solaris 鍵管理フレームワーク

パート V 認証サービスと安全な通信

16.  認証サービスの使用 (手順)

17.  PAM の使用

18.  SASL の使用

19.  Oracle Solaris Secure Shell の使用 (手順)

20.  Oracle Solaris Secure Shell (参照)

パート VI Kerberos サービス

21.  Kerberos サービスについて

22.  Kerberos サービスの計画

23.  Kerberos サービスの構成 (手順)

24.  Kerberos エラーメッセージと障害追跡

25.  Kerberos 主体とポリシーの管理 (手順)

26.  Kerberos アプリケーションの使用 (手順)

27.  Kerberos サービス (参照)

パート VII Oracle Solaris 監査

28.  Oracle Solaris 監査 (概要)

29.  Oracle Solaris 監査の計画

30.  Oracle Solaris 監査の管理 (手順)

31.  Oracle Solaris 監査 (参照)

監査コマンド

auditd デーモン

audit コマンド

bsmrecord コマンド

auditreduce コマンド

praudit コマンド

auditconfig コマンド

監査サービスで使用されるファイル

system ファイル

syslog.conf ファイル

audit_class ファイル

audit_control ファイル

audit_event ファイル

audit_startup スクリプト

audit_user データベース

audit_warn スクリプト

bsmconv スクリプト

監査を管理するための権利プロファイル

監査と Oracle Solaris ゾーン

監査クラス

監査クラスの定義

監査クラスの構文

監査プラグイン

監査ポリシー

プロセスの監査特性

監査トレール

バイナリ監査ファイルの命名規則

バイナリ監査ファイル名

バイナリ監査ファイルのタイムスタンプ

監査レコードの構造

監査レコード分析

監査トークンの形式

acl トークン

arbitrary トークン (廃止)

arg トークン

attribute トークン

cmd トークン

exec_args トークン

exec_env トークン

exit トークン (廃止)

file トークン

group トークン (廃止)

groups トークン

header トークン

ip_addr トークン

ip トークン (廃止)

ipc トークン

ipc_perm トークン

iport トークン

opaque トークン (廃止)

path トークン

path_attr トークン

privilege トークン

process トークン

return トークン

sequence トークン

socket トークン

subject トークン

text トークン

trailer トークン

uauth トークン

upriv トークン

zonename トークン

用語集

索引

監査クラス

システム全体での Oracle Solaris 監査のデフォルト値は、1 つ以上のイベントのクラスを指定して事前選択されます。クラスは、システムの audit_control ファイルでシステムごとに事前選択されます。システムを使用するすべてのユーザーが、これらのイベントのクラスに対して監査されます。このファイルについては、audit_control ファイル」を参照してください。

監査クラスを構成し、新しい監査クラスを作成できます。監査クラス名は、最長 8 文字です。クラスの説明は、72 文字に制限されています。数値と英数字以外の文字が使用できます。

audit_user データベースのユーザーのエントリに監査クラスを追加して、ユーザーごとの監査対象を変更できます。監査クラスは、auditconfig コマンドの引数としても使用します。詳細は、auditconfig(1M) のマニュアルページを参照してください。

監査クラスの定義

次の表に、事前に定義されている監査クラス、監査クラスの記述名、および短い説明を示します。

表 31-1 事前に定義されている監査クラス

監査クラス
記述名
説明
all
all
すべてのクラス (メタクラス)
no
no_class
事前選択を無効にする空の値
na
non_attrib
ユーザーが原因ではないイベント
fr
file_read
データを読み取る、読み取りのために開く
fw
file_write
データを書き込む、書き込みのために開く
fa
file_attr_acc
オブジェクト属性にアクセスする: statpathconf
fm
file_attr_mod
オブジェクト属性を変更する: chownflock
fc
file_creation
オブジェクトの作成
fd
file_deletion
オブジェクトの削除
cl
file_close
close システムコール
ap
application
アプリケーションが定義するイベント
ad
administrative
管理上の操作 (旧 administrative メタクラス)
am
administrative
管理上の操作 (メタクラス)
ss
system state
システムの状態を変更
as
system-wide administration
システム全体の管理
ua
user administration
ユーザー管理
aa
audit administration
監査の使用
ps
process start
プロセスの起動、プロセスの停止
pm
process modify
プロセスの変更
pc
process
プロセス (メタクラス)
ex
exec
プログラムの実行
io
ioctl
ioctl() システムコール
ip
ipc
System V IPC 操作
lo
login_logout
ログインとログアウトのイベント
nt
network
ネットワークイベント: bindconnectaccept
ot
other
その他、デバイス割り当てや memcntl() など

/etc/security/audit_class ファイルを変更して、新しいクラスを定義できます。既存クラスの名前の変更も可能です。詳細は、audit_class(4) のマニュアルページを参照してください。

監査クラスの構文

成功した場合に監査されるイベント、失敗した場合に監査されるイベント、または両方の場合に監査されるイベントがあります。接頭辞を指定しなかったイベントのクラスは、成功した場合も失敗した場合も監査されます。プラス (+) 接頭辞が付いた場合、イベントのクラスは成功した場合のみが監査されます。マイナス (-) 接頭辞が付く場合、イベントのクラスは失敗した場合のみが監査されます。次の表に、監査クラスの例をいくつか示します。

表 31-2 接頭辞 (プラス記号、マイナス記号) の付いた監査クラス

[prefix] class
意味
lo
成功したすべてのログインとログアウト、および失敗したすべてのログインを監査します。ログアウトが失敗することはありません。
+lo
成功したすべてのログインとログアウトを監査します。
-all
失敗したすべてのイベントを監査します。
+all
成功したすべてのイベントを監査します。

注意

注意 - all クラスを指定すると、大量のデータが生成され、監査ファイルシステムがすぐにいっぱいになる可能性があります。all クラスは、特別な理由ですべての活動を監査する場合にだけ使用してください。


キャレット接頭辞 ^ を使用すると、選択されている監査フラグをさらに変更できます。次の表は、キャレット接頭辞を使って選択済みの監査クラスを変更する方法を示したものです。

表 31-3 指定済みの監査クラスを変更するキャレット接頭辞

^[prefix]class
意味
-all,^-fc
失敗したすべてのイベントを監査します。ただし、失敗したファイルシステムオブジェクト作成は監査しません
am,^+aa
成功または失敗したすべての管理イベントを監査します。ただし、成功した監査管理は監査しません
am,^ua
成功または失敗したすべての管理イベントを監査します。ただし、ユーザー管理イベントは監査しません

監査クラスとその接頭辞は、次のファイルとコマンドで使用できます。

audit_control ファイル内での接頭辞の使用例については、audit_control ファイル」を参照してください。