在区域中配置审计服务（任务）

审计服务审计整个系统，包括区域中的审计事件。安装了非全局区域的系统可以以相同方式审计所有区域，也可基于每个区域控制审计。有关背景信息，请参见在具有 Oracle Solaris 区域的系统上审计。有关规划信息，请参见如何规划区域中的审计。

如何配置以相同方式审计所有区域

此过程可以实现以相同方式审计所有区域。该方法需要的计算机开销和管理资源最少。

配置全局区域的审计。
1. 完成配置审计文件（任务列表）中的任务。
2. 完成配置和启用审计服务（任务列表）中的任务，但注意以下例外。
  - 不要启用 perzone 审计策略。
  - 不要启用审计服务。请在完成非全局区域的审计配置后启用审计服务。
将审计配置文件从全局区域复制到每一个非全局区域。
复制已经编辑的以下任一文件：audit_class、audit_control、audit_event 和 audit_user。请勿复制 audit_startup 或 audit_warn。不必复制未编辑的文件。
您有两种选择。作为超用户，您可以复制文件，或者回送挂载文件。非全局区域必须在运行中。
- 复制文件。
  1. 从全局区域中，列出非全局区域中的 /etc/security 目录。
```
# ls /zone/zonename/etc/security/
```
  2. 将审计配置文件复制到该区域的 /etc/security 目录。
```
# cp /etc/security/audit-file /zone/zonename/etc/security/audit-file
```
    之后，如果您在全局区域中修改了审计配置文件，需要将该文件重新复制到非全局区域。
- 回送挂载配置文件。
  1. 从全局区域中，中止非全局区域。
```
# zoneadm -z non-global-zone halt
```
  2. 为在全局区域中修改的每个审计配置文件创建一个只读回送挂载。
```
# zonecfg -z non-global-zone
 add fs
    set special=/etc/security/audit-file
    set dir=/etc/security/audit-file
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 exit
```
  3. 要使更改生效，请引导该非全局区域。
```
# zoneadm -z non-global-zone boot
```
    您也可以重新引导系统。
    之后，如果在全局区域中修改了审计配置文件，请重新引导系统以刷新非全局区域中的回送挂载的文件。

示例 30-24 回送挂载审计配置文件

在本示例中，系统管理员修改了 audit_class、audit_event、audit_control、audit_user、audit_startup 和 audit_warn 文件。

audit_startup 和 audit_warn 文件仅在全局区域中读取，因此不必将其回送挂载到非全局区域。

在系统 machine1 中，管理员创建了两个非全局区域：machine1–webserver 和 machine1–appserver。管理员已经完成了对审计配置文件的定制。如果之后管理员修改了文件，系统将会重新引导以使更改生效。

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 add fs
    set special=/etc/security/audit_event
    set dir=/etc/security/audit_event
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 add fs
    set special=/etc/security/audit_control
    set dir=/etc/security/audit_control
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end 
add fs
    set special=/etc/security/audit_user
    set dir=/etc/security/audit_user
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
 exit
# zonecfg -z machine1-appserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
...
 exit

重新引导区域后，审计配置文件在区域中为只读文件。

如何配置每区域审计

此过程使每个区域的管理员可以在他们的各自区域中控制审计服务。有关策略选项的完整列表，请参见 auditconfig(1M) 手册页。

在全局区域中配置审计，但是不要启用审计服务。
1. 完成配置审计文件（任务列表）中的任务。
2. 完成配置和启用审计服务（任务列表）中的任务，但注意以下例外。
  - 添加 perzone 审计策略。有关示例，请参见示例 30-18。
  - 不要启用审计服务。请在完成非全局区域的审计配置后启用审计服务。
在每个非全局区域中，配置审计文件。
注 - 如果计划在非全局区域中禁用审计，您可以跳过该步骤。要禁用审计，请参见示例 30-25。
1. 完成配置审计文件（任务列表）中的任务。
2. 根据配置和启用审计服务（任务列表）中描述的过程操作。
3. 不要配置系统范围的审计设置。
  具体来说，不要将 perzone 或 ahlt 策略添加到非全局区域的 audit_startup 文件中。也不要从非全局区域运行 bsmconv 命令。
4. 在您的区域中启用审计。
  配置审计后重新引导全局区域时，您的区域中会自动启用审计。
  如果全局区域管理员在系统引导后激活了 perzone 审计策略，则每个区域管理员都必须启用审计。有关详细信息，请参见示例 30-20。
在全局区域中，启用审计服务。
有关过程，请参见如何启用审计服务。

示例 30-25 在非全局区域中禁用审计

本示例适用于全局区域设置了 perzone 审计策略的情况。noaudit 区域的管理员禁用该区域的审计。因为管理员计划禁用审计，所以没有编辑审计配置文件。

noauditzone # svcadm disable svc:/system/auditd

跳过导航链接
退出打印视图
	系统管理指南：安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文)