跳过导航链接 | |
退出打印视图 | |
![]() |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
审计服务审计整个系统,包括区域中的审计事件。安装了非全局区域的系统可以以相同方式审计所有区域,也可基于每个区域控制审计。有关背景信息,请参见在具有 Oracle Solaris 区域的系统上审计。有关规划信息,请参见如何规划区域中的审计。
此过程可以实现以相同方式审计所有区域。该方法需要的计算机开销和管理资源最少。
不要启用 perzone 审计策略。
不要启用审计服务。请在完成非全局区域的审计配置后启用审计服务。
复制已经编辑的以下任一文件:audit_class、audit_control、audit_event 和 audit_user。请勿复制 audit_startup 或 audit_warn。不必复制未编辑的文件。
您有两种选择。作为超用户,您可以复制文件,或者回送挂载文件。非全局区域必须在运行中。
# ls /zone/zonename/etc/security/
# cp /etc/security/audit-file /zone/zonename/etc/security/audit-file
之后,如果您在全局区域中修改了审计配置文件,需要将该文件重新复制到非全局区域。
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z non-global-zone boot
您也可以重新引导系统。
之后,如果在全局区域中修改了审计配置文件,请重新引导系统以刷新非全局区域中的回送挂载的文件。
示例 30-24 回送挂载审计配置文件
在本示例中,系统管理员修改了 audit_class、audit_event、audit_control、audit_user、audit_startup 和 audit_warn 文件。
audit_startup 和 audit_warn 文件仅在全局区域中读取,因此不必将其回送挂载到非全局区域。
在系统 machine1 中,管理员创建了两个非全局区域:machine1–webserver 和 machine1–appserver。管理员已经完成了对审计配置文件的定制。如果之后管理员修改了文件,系统将会重新引导以使更改生效。
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_control set dir=/etc/security/audit_control set type=lofs add options [ro,nodevices,nosetuid] end add fs set special=/etc/security/audit_user set dir=/etc/security/audit_user set type=lofs add options [ro,nodevices,nosetuid] end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] end ... exit
重新引导区域后,审计配置文件在区域中为只读文件。
此过程使每个区域的管理员可以在他们的各自区域中控制审计服务。有关策略选项的完整列表,请参见 auditconfig(1M) 手册页。
添加 perzone 审计策略。有关示例,请参见示例 30-18。
不要启用审计服务。请在完成非全局区域的审计配置后启用审计服务。
具体来说,不要将 perzone 或 ahlt 策略添加到非全局区域的 audit_startup 文件中。也不要从非全局区域运行 bsmconv 命令。
配置审计后重新引导全局区域时,您的区域中会自动启用审计。
如果全局区域管理员在系统引导后激活了 perzone 审计策略,则每个区域管理员都必须启用审计。有关详细信息,请参见示例 30-20。
有关过程,请参见如何启用审计服务。
示例 30-25 在非全局区域中禁用审计
本示例适用于全局区域设置了 perzone 审计策略的情况。noaudit 区域的管理员禁用该区域的审计。因为管理员计划禁用审计,所以没有编辑审计配置文件。
noauditzone # svcadm disable svc:/system/auditd