ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
24. Kerberos アプリケーションの使用 (タスク)
監査サービスは、ゾーン内での監査イベントも含め、システム全体を監査します。非大域ゾーンがインストールされているシステムでは、すべてのゾーンを同様に監査したり、ゾーンごとに監査を構成したりできます。背景情報については、「Oracle Solaris ゾーンを含むシステムでの監査」を参照してください。計画を立てるには、「ゾーン内の監査の計画方法」を参照してください。
非大域ゾーンを、大域ゾーンを監査する場合とまったく同様に監査する場合は、監査サービスが大域ゾーンで実行されます。このサービスは、大域ゾーンとすべての非大域ゾーンから監査レコードを収集します。非大域ゾーン管理者は、監査レコードにアクセスできない可能性があります。
注 - 大域ゾーン管理者は、非大域ゾーン内のユーザーの監査マスクを変更することを選択できます。
非大域ゾーンを個別に監査する場合は、監査される各ゾーンで個別の監査サービスが実行されます。各ゾーンが独自の監査レコードを収集します。これらのレコードは、その非大域ゾーンに表示されるほか、この非大域ゾーンのルートから大域ゾーンにも表示されます。
この手順に従えば、すべてのゾーンを同様に監査できます。この方法を使えば、必要とされるコンピュータオーバーヘッドと管理リソースが最小になります。
始める前に
root 役割になっている必要があります。
「監査サービスの構成 (タスクマップ)」のタスクを行います。ただし、次の点は例外です。
perzone 監査ポリシーを有効にしないでください。
監査サービスを有効にしないでください。監査サービスの有効化は、非大域ゾーンの監査の構成が完了したあとで行います。
zonename ポリシーを設定します。このポリシーによって、ゾーンの名前がすべての監査レコードに追加されます。
# auditconfig -setpolicy +zonename
audit_class または audit_event ファイルを変更した場合は、次の 2 つの方法のどちらかでコピーします。
これらのファイルをループバックマウントできます。
これらのファイルをコピーできます。
非大域ゾーンが動作している必要があります。
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] commit end exit
# zoneadm -z non-global-zone boot
あとで、大域ゾーンで監査構成ファイルを変更した場合は、ループバックマウントされたファイルを非大域ゾーンで更新するためにゾーンをリブートします。
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
あとで、大域ゾーンでこれらのファイルのいずれかを変更した場合は、そのファイルを非大域ゾーンにふたたびコピーする必要があります。
非大域ゾーンは、大域ゾーンで監査サービスが有効になったときに監査されます。
例 28-20 ゾーンで監査構成ファイルをループバックマウントとしてマウントする
この例では、システム管理者が audit_class、audit_event、および audit_warn ファイルを変更しました。
audit_warn ファイルは大域ゾーンでのみ読み取られるため、非大域ゾーンにマウントする必要はありません。
このシステム machine1 上で、管理者は 2 つの非大域ゾーン machine1–webserver と machine1–appserver を作成しました。管理者は、監査構成ファイルの変更を完了しました。管理者があとでこれらのファイルを変更した場合は、ループバックマウントを再読み込みするために、ゾーンをリブートする必要があります。
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] commit end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end ... exit
非大域ゾーンがリブートされると、audit_class および audit_event ファイルは、これらのゾーンで読み取り専用になります。
この手順に従えば、個々のゾーン管理者が自身のゾーン内で監査サービスを制御できます。ポリシーオプションの完全な一覧については、auditconfig(1M) のマニュアルページを参照してください。
始める前に
監査を構成するには、Audit Configuration 権利プロファイルが割り当てられている必要があります。監査サービスを有効にするには、Audit Control 権利プロファイルが割り当てられている必要があります。
詳細は、「管理権限を取得する方法」を参照してください。
注 - 大域ゾーンで監査サービスを有効にする必要はありません。
特に、非大域ゾーンに perzone または ahlt ポリシーを追加しないでください。
myzone# audit -s
例 28-21 非大域ゾーンで監査を無効にする
この例は、大域ゾーンで perzone 監査ポリシーが設定されている場合に正しく機能します。noaudit ゾーンのゾーン管理者が、そのゾーンの監査を無効にします。
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit