Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
28. Gestion de l'audit (tâches)
Gestion de l'audit (liste des tâches)
Configuration du service d'audit (tâches)
Configuration du service d'audit (liste des tâches)
Procédure d'affichage des paramètres par défaut du service d'audit
Procédure de présélection des classes d'audit
Procédure de configuration des caractéristiques d'audit d'un utilisateur
Procédure de modification de la stratégie d'audit
Procédure de modification des contrôles de file d'attente d'audit
Procédure de configuration de l'alias de messagerie audit_warn
Procédure d'ajout d'une classe d'audit
Procédure de modification de l'appartenance à une classe d'un événement d'audit
Configuration des journaux d'audit (tâches)
Configuration des journaux d'audit (liste des tâches)
Procédure de création de systèmes de fichiers ZFS pour les fichiers d'audit
Procédure d'affectation de l'espace d'audit pour la piste d'audit
Procédure d'envoi des fichiers d'audit à un référentiel distant
Procédure de configuration des journaux d'audit syslog
Configuration du service d'audit dans les zones (tâches)
Procédure de configuration identique de toutes les zones pour l'audit
Activation et désactivation du service d'audit (tâches)
Procédure d'actualisation du service d'audit
Procédure de désactivation du service d'audit
Procédure d'activation du service d'audit
Gestion des enregistrements d'audit sur les systèmes locaux (tâches)
Gestion des enregistrements d'audit sur les systèmes locaux (liste des tâches)
Procédure d'affichage des définitions d'enregistrement d'audit
Procédure de fusion des fichiers d'audit de la piste d'audit
Procédure de sélection des événements d'audit de la piste d'audit
Procédure d'affichage du contenu des fichiers d'audit binaires
Procédure de nettoyage d'un fichier d'audit not_terminated
Procédure de contrôle du dépassement de la piste d'audit
Dépannage du service d'audit (tâches)
Dépannage du service d'audit (liste des tâches)
Procédure de vérification de l'exécution de l'audit
Procédure d'atténuation du volume des enregistrements d'audit produits
Procédure d'audit de toutes les commandes par les utilisateurs
Procédure de mise à jour du masque de présélection des utilisateurs connectés
Procédure de suppression de l'audit d'événements spécifiques
Procédure de limitation de la taille des fichiers d'audit binaires
Procédure de compression des fichiers d'audit sur un système de fichiers dédié
Procédure d'audit des connexions à partir d'autres systèmes d'exploitation
Le service d'audit effectue des audits sur la totalité du système, y compris les événements d'audit dans les zones. Un système doté de zones non globales peut auditer toutes les zones de manière identique, ou configurer l'audit par zone. Pour de plus amples détails, reportez-vous à la section Audit sur un système à zones Oracle Solaris. Pour la planification, reportez-vous à la section Procédure de planification de l'audit par zone.
Lorsque vous effectuez un audit des zones non globales identique à celui de la zone globale, le service d'audit s'exécute dans la zone globale. Le service recueille les enregistrements d'audit à partir de la zone globale et de toutes les zones non globales. Les administrateurs de zones non globales peuvent ne pas avoir accès aux enregistrements d'audit.
Remarque - L'administrateur de la zone globale peut choisir de modifier les masques d'audit des utilisateurs dans les zones non globales.
Lorsque vous auditez les zones non globales individuellement, un service d'audit distinct s'exécute dans chaque zone qui fait l'objet d'un audit. Chaque zone collecte ses propres enregistrements d'audit. Les enregistrements sont visibles à la zone non globale et à la zone globale à partir de la racine de zone non globale.
Cette procédure permet d'auditer chaque zone de manière identique. Cette méthode est celle qui requiert le temps système le moins important de ressources en administration.
Avant de commencer
Vous devez être dans le rôle root.
Effectuez les tâches de la section Configuration du service d'audit (liste des tâches), à l'exception des points suivants :
N'activez pas la stratégie d'audit perzone.
N'activez pas le service d'audit. Vous pouvez activer le service d'audit après avoir configuré les zones non globales pour l'audit.
Définissez la stratégie zonename. Cette stratégie permet d'ajouter le nom de la zone à chaque enregistrement d'audit.
# auditconfig -setpolicy +zonename
Si vous avez modifié le fichier audit_class ou audit_event, copiez-le de l'une des deux façons suivantes :
Vous pouvez monter en loopback les fichiers.
Vous pouvez copier les fichiers.
La zone non globale doit être en cours d'exécution.
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] commit end exit
# zoneadm -z non-global-zone boot
Par la suite, si vous modifiez un fichier de configuration d'audit dans la zone globale, réinitialisez la zone pour actualiser les fichiers montés en loopback dans les zones non globales.
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
Par la suite, si vous modifiez l'un de ces fichiers dans la zone globale, vous devez copier à nouveau le fichier dans les zones non globales.
Les zones non globales sont auditées lorsque le service d'audit est activé dans la zone globale.
Exemple 28-20 Montage des fichiers de configuration d'audit en tant que montage loopback dans une zone
Dans cet exemple, l'administrateur système a modifié les fichiers audit_class, audit_event et audit_warn.
Le fichier audit_warn est lu dans la zone globale uniquement, de sorte qu'il n'a pas à être monté dans les zones non globales.
Sur ce système, machine1, l'administrateur a créé deux zones non globales, machine1–webserver et machine1–appserver. L'administrateur a terminé la modification des fichiers de configuration d'audit. Si l'administrateur modifie ultérieurement les fichiers, la zone doit être réinitialisée pour relire les montages en loopback.
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] commit end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end ... exit
Lorsque les zones non globales sont réinitialisées, les fichiers audit_class et audit_event sont en lecture seule dans les zones.
Cette procédure permet aux administrateurs de zones distinctes de contrôler le service d'audit dans leur zone. Pour obtenir la liste complète des options de stratégie, reportez-vous à la page de manuel auditconfig(1M).
Avant de commencer
Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué pour configurer l'audit. Le profil de droits Audit Control (contrôle d'audit) doit vous avoir été attribué pour activer le service d'audit.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Remarque - Vous n'êtes pas obligé d'activer le service d'audit dans la zone globale.
En particulier, n'ajoutez pas la stratégie perzone ou ahlt à la zone non globale.
myzone# audit -s
Exemple 28-21 Désactivation de l'audit dans une zone non globale
Cet exemple fonctionne si la zone globale a défini la stratégie d'audit perzone. L'administrateur de zone de la zone noaudit désactive l'audit pour cette zone.
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit