在区域中配置审计服务（任务）

审计服务审计整个系统，包括区域中的审计事件。安装了非全局区域的系统可以以相同方式审计所有区域，也可基于每个区域配置审计。有关背景信息，请参见在具有 Oracle Solaris 区域的系统上审计。有关规划信息，请参见如何规划区域中的审计。

如果按照与审计全局区域完全相同的方法审计非全局区域，审计服务将在全局区域中运行。该服务从全局区域和所有非全局区域收集审计记录。非全局区域管理员可能无权访问审计记录。

注 - 全局区域管理员可以选择修改非全局区域中的用户的审计掩码。

单独审计非全局区域时，单个审计服务在审计的每个区域中运行。每个区域都收集自己的审计记录。记录对于非全局区域和非全局区域根中的全局区域均可见。

如何配置以相同方式审计所有区域

此过程可以实现以相同方式审计所有区域。该方法需要的计算机开销和管理资源最少。

开始之前

您必须是 root 角色。

配置全局区域的审计。
完成配置审计服务（任务列表）中的任务，但注意以下例外：
- 不要启用 perzone 审计策略。
- 不要启用审计服务。请在完成非全局区域的审计配置后启用审计服务。
- 设置 zonename 策略。此策略将区域名称添加到每个审计记录。
```
# auditconfig -setpolicy +zonename
```
如果修改了审计配置文件，请将这些文件从全局区域复制到每个非全局区域。
如果修改了 audit_class 或 audit_event 文件，请采用以下两种方式之一复制它：
- 可以回送挂载文件。
- 可以复制文件。
非全局区域必须在运行中。
- 将更改的 audit_class 和 audit_event 文件作为回送文件系统 (lofs) 进行挂载。
  1. 从全局区域中，中止非全局区域。
```
# zoneadm -z non-global-zone halt
```
  2. 为在全局区域中修改的每个审计配置文件创建一个只读回送挂载。
```
# zonecfg -z non-global-zone
 add fs
    set special=/etc/security/audit-file
    set dir=/etc/security/audit-file
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
 exit
```
  3. 要使更改生效，请引导该非全局区域。
```
# zoneadm -z non-global-zone boot
```
    之后，如果在全局区域中修改了审计配置文件，请重新引导区域以刷新非全局区域中回送挂载的文件。
- 复制文件。
  1. 从全局区域中，列出非全局区域中的 /etc/security 目录。
```
# ls /zone/zonename/root/etc/security/
```
  2. 将更改的 audit_class 和 audit_event 文件复制到区域的 /etc/security 目录。
```
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
```
    之后，如果在全局区域中更改其中一个文件，必须将文件重新复制到非全局区域。
在全局区域中启用审计服务时，将审计非全局区域。

示例 28-20 在区域中挂载作为回送挂载的审计配置文件

在本示例中，系统管理员修改了 audit_class、audit_event 和 audit_warn 文件。

audit_warn 文件仅在全局区域中读取，因此不必将其挂载到非全局区域。

在系统 machine1 中，管理员创建了两个非全局区域：machine1–webserver 和 machine1–appserver。管理员已经完成了对审计配置文件的修改。如果管理员以后修改文件，必须重新引导区域以重新读取回送挂载。

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
 add fs
    set special=/etc/security/audit_event
    set dir=/etc/security/audit_event
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
  exit
# zonecfg -z machine1-appserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
...
 exit

重新引导非全局区域时，audit_class 和 audit_event 文件在区域中为只读。

如何配置每区域审计

此过程使每个区域的管理员可以在他们的各自区域中控制审计服务。有关策略选项的完整列表，请参见 auditconfig(1M) 手册页。

开始之前

您必须分配有 Audit Configuration（审计配置）权限配置文件才能配置审计。您必须分配有 Audit Control（审计控制）权限配置文件才能启用审计服务。

成为具有所需安全属性的管理员。
有关更多信息，请参见如何获取管理权限。
在全局区域中，配置审计。
1. 完成配置审计服务（任务列表）中的任务。
2. 添加 perzone 审计策略。有关命令，请参见示例 28-8。
  注 - 您无需在全局区域中启用审计服务。
在计划审计的每个非全局区域中，配置审计文件。
1. 完成配置审计服务（任务列表）中的任务。
2. 不要配置系统范围的审计设置。
  具体来说，不要将 perzone 或 ahlt 策略添加到非全局区域中。
在您的区域中启用审计。
```
myzone# audit -s
```

示例 28-21 在非全局区域中禁用审计

本示例适用于全局区域设置了 perzone 审计策略的情况。noaudit 区域的管理员禁用该区域的审计。

noauditzone # auditconfig -getcond
audit condition = auditing
noauditzone # audit -t
noauditzone # auditconfig -getcond
audit condition = noaudit

跳过导航链接
退出打印视图
	Oracle Solaris 管理：安全服务 Oracle Solaris 11 Information Library (简体中文)