ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
24. Kerberos アプリケーションの使用 (タスク)
監査サービスはデフォルトで有効になっており、auditconfig コマンドで構成します。大域ゾーンで perzone 監査ポリシーが設定されている場合、ゾーン管理者は、自分の非大域ゾーン内のサービスを有効化、更新、および無効化できます。
この手順では、監査サービスが有効になったあと、監査プラグインの構成を変更したときに監査サービスを更新します。
始める前に
Audit Control 権利プロファイルが割り当てられている必要があります。
詳細は、「管理権限を取得する方法」を参照してください。
# audit -s
注 - 監査サービスを更新すると、すべての一時的な構成設定が失われます。監査ポリシーとキュー制御では、一時的な設定が許可されます。詳細は、auditconfig(1M) のマニュアルページを参照してください。
監査レコードは、各プロセスに関連付けられた監査事前選択マスクに基づいて生成されます。監査サービスを更新しても、既存のプロセスのマスクは変更されません。既存のプロセスの事前選択マスクを明示的にリセットするには、「ログインしているユーザーの事前選択マスクを更新する方法」を参照してください。
例 28-22 有効になっている監査サービスを更新する
この例では、管理者が監査を再構成し、変更を確認したあと、監査サービスを更新します。
最初に、管理者は一時的なポリシーを追加します。
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
次に、管理者はキュー制御を指定します。
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
次に、管理者はプラグインの属性を指定します。
audit_binfile プラグインの場合、管理者は qsize 値を削除します。
# auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile active "" "" # auditconfig -getplugin audit_binfile Plugin: audit_binfile (active) Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
最後の空の引用符 ("") は、プラグインのキューサイズをデフォルトに設定します。
audit_syslog プラグインの場合、管理者は、成功したログインおよびログアウトイベントと失敗した実行可能ファイルが syslog に送信されるように指定します。このプラグインの qsize は 50 に設定されます。
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 50 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog (active) Attributes: p_flags=+lo,-ex; Queue size: 50
管理者は、audit_remote プラグインを構成したり、使用したりしません。
一時的な zonename ポリシーはもう設定されていません。
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
キュー制御は同じままです。
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
audit_binfile プラグインには、指定されたキューサイズはありません。audit_syslog プラグインには、指定されたキューサイズがあります。
# auditconfig -getplugin Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog (active) Attributes: p_flags=+lo,-ex; Queue size: 50 ...
この手順は、大域ゾーンで、および perzone 監査ポリシーが設定されている場合は非大域ゾーンで監査を無効にする方法を示しています。
perzone 監査ポリシーが設定されていない場合、監査はすべてのゾーンで無効になります。
大域ゾーンで perzone 監査ポリシーが設定されている場合、このポリシーは、監査が有効になっている非大域ゾーンで有効なままになります。
perzone ポリシーは大域ゾーンで設定されるため、非大域ゾーンは、大域ゾーンのリブートや非大域ゾーンのリブートのあとも監査レコードを収集し続けます。
始める前に
Audit Control 権利プロファイルが割り当てられている必要があります。
詳細は、「管理権限を取得する方法」を参照してください。
詳細は、audit(1M) と auditd(1M) のマニュアルページを参照してください。
# audit -t
perzone 監査ポリシーが設定されていない場合は、このコマンドによって、すべてのゾーンで監査が無効になります。
perzone 監査ポリシーが設定されている場合、非大域ゾーン管理者は、その非大域ゾーンでサービスを無効にする必要があります。
zone1 # audit -t
この手順では、監査サービスが管理者によって無効にされたあとに、すべてのゾーンでこのサービスを有効にします。非大域ゾーンで監査サービスを開始するには、例 28-23 を参照してください。
始める前に
監査サービスを有効または無効にするには、Audit Control 権利プロファイルが割り当てられている必要があります。
詳細は、「管理権限を取得する方法」を参照してください。
# audit -s
詳細は、audit(1M) のマニュアルページを参照してください。
# auditconfig -getcond audit condition = auditing
例 28-23 非大域ゾーンで監査を有効にする
この例では、ゾーン管理者が、次のアクションを実行したあとに zone1 に対する監査サービスを有効にします。
大域ゾーン管理者は、大域ゾーンで perzone ポリシーを設定します。
非大域ゾーンのゾーン管理者は、監査サービスと、ユーザーごとのカスタマイズを構成します。
次に、ゾーン管理者は、そのゾーンに対する監査サービスを有効にします。
zone1# audit -s