跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
您需要认真选择要审计的活动类型,同时还需要收集有用的审计信息。审计文件不断增大,可能很快就会占满可用空间,因此应分配足够的磁盘空间。您还需要仔细规划要审计的对象及内容。
如果系统中实现了区域,则可以使用两种可能的审计配置:
可以在全局区域中为所有区域配置单个审计服务。
可以为每个区域配置一个审计服务。
有关如何权衡选择的介绍,请参见在具有 Oracle Solaris 区域的系统上审计。
以相同方式审计所有区域可以创建一个单映像审计迹。当系统上的所有区域都是一个管理域的组成部分时,会发生单映像审计迹。然后,可以很容易地比较审计记录,因为每个区域的记录都以相同的设置预选。
该配置将所有区域视为一个系统的组成部分。全局区域在一个系统上只运行一个审计守护进程,并收集所有区域的审计日志。只需在全局区域中定制审计配置文件,然后将审计配置文件复制到每个非全局区域。
audit_user 数据库可以是本地文件,也可以从共享命名服务获取。
要使区域名称成为审计记录的一部分,请在全局区域中设置 zonename 策略。然后,可以使用 auditreduce 命令按区域从审计迹中选择审计事件。有关示例,请参见 auditreduce(1M) 手册页。
要规划单映像审计迹,请参阅如何规划要审计的对象及内容。从第一步开始。全局区域管理员还必须留出部分存储,如如何规划审计记录的存储中所述。
如果不同区域包含不同的命名服务文件,或者区域管理员想要控制他们区域中的审计,请选择配置按区域审计。
配置按区域审计时,必须为审计配置全局区域。在全局区域中设置 perzone 审计策略。要设置审计策略,请参见如何配置每区域审计。
注 - 如果已在非全局区域中定制命名服务文件,但未设置 perzone 策略,那么需要谨慎地使用审计工具来选择可用的记录。一个区域中的用户 ID 可以指不同区域中使用相同 ID 的不同用户。
要生成可以追溯到其来源区域的记录,请在全局区域中设置 zonename 审计策略。在全局区域中,运行 auditreduce 命令并附带 zonename 选项。然后在 zonename 区域中,对 auditreduce 输出运行 praudit 命令。
由每个区域管理员为区域配置审计文件。
非全局区域管理员可以设置 perzone 和 ahlt 以外的全部策略选项。
每个区域管理员都可以启用或禁用区域中的审计。
如果要在每个区域中定制审计配置文件,请参考如何规划要审计的对象及内容为每个区域进行规划。可以跳过第一步。每个区域管理员还必须为每个区域留出存储空间,如如何规划审计记录的存储中所述。
审计迹需要专用的文件空间。审计文件的专用文件空间必须可用且安全。每个系统应该具有针对审计文件配置的多个审计目录。作为首要任务之一,在任何系统上启用审计之前,应决定如何配置审计目录。以下过程介绍了规划审计迹存储时要解决的问题。
开始之前
如果要实现非全局区域,请在使用此过程之前完成如何规划区域中的审计。
针对审计迹平衡磁盘空间可用性和站点的安全需求。
在这些系统上,至少为一个本地审计目录分配空间。要指定审计目录,请参见示例 30-3。
确定用于保存主审计目录和辅助审计目录的服务器。有关为审计目录配置磁盘的示例,请参见如何为审计文件创建分区。
创建计划使用的所有审计目录的列表。有关命名规则,请参见存储审计迹和auditreduce 命令。
开始之前
如果要实现非全局区域,请在使用此过程之前完成如何规划区域中的审计。
单一管理域中的系统可以创建单系统映像审计迹。如果您的系统使用不同的命名服务,请从下一步开始。应该针对每个系统完成其余的规划步骤。
单系统映像审计迹将正在对其进行审计的系统视为一台计算机。要为站点创建单系统映像审计迹,安装中的每个系统都应进行如下配置:
使用同一个命名服务。
要解释审计记录,需要使用 auditreduce 和 praudit 这两个命令。要正确解释审计记录,passwd、hosts 和 audit_user 文件必须一致。
与其他所有系统使用相同的 audit_warn、audit_event、audit_class 和 audit_startup 文件。
使用同一个 audit_user 数据库。此数据库可以位于名称服务(如 NIS 或 LDAP)中。
在 audit_control 文件中有相同的 flags、naflags 和 plugin 项。
使用 auditconfig -lspolicy 命令查看可用策略选项的简短说明。缺省情况下,仅打开 cnt 策略。有关更完整的说明,请参见步骤 8。
多数情况下,缺省映射便已够用。但是,如果添加新类、更改类定义,或者确定某特定系统调用的记录不可用,则可能需要将某个事件移动到其他类。
有关示例,请参见如何更改审计事件的类成员身份。
添加审计类或更改缺省类的最佳时机是在启动审计服务之前。
audit_control 文件中 flags、naflags 和 plugin 项的审计类值适用于所有用户和进程。预选类可以确定是只针对成功情况对审计类进行审计,还是只针对失败情况对其进行审计,或者同时针对两种情况对其进行审计。
要预选审计类,请参见如何修改 audit_control 文件 。
如果决定使用系统范围预选审计类以外的方式来审计某些用户,请修改 audit_user 数据库中的单个用户项。
有关示例,请参见如何更改用户审计特征。
当审计文件系统上的磁盘空间低于 minfree 百分比时,auditd 守护进程将切换到下一个可用审计目录。然后,守护进程将发送一条警告,指出已超过软限制。
要设置最小可用磁盘空间,请参见示例 30-4。
每当审计系统需要通知您出现了需要管理干预的情况,就会运行 audit_warn 脚本。缺省情况下,audit_warn 脚本会向 audit_warn 别名发送电子邮件,并向控制台发送消息。
要设置别名,请参见如何配置 audit_warn 电子邮件别名。
缺省情况下,当审计迹溢出时,系统还会继续工作。系统会对丢弃的审计记录进行计数,但是不会记录事件。要获得更大的安全性,可以禁用 cnt 策略,然后启用 ahlt 策略。当异步事件无法放入审计队列时,ahlt 策略会停止系统。
有关这些策略选项的说明,请参见同步事件和异步事件的审计策略。要配置这些策略选项,请参见示例 30-16。
有关概述信息,请参见审计日志。
有关示例,请参见如何配置 syslog 审计日志。