| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
审计服务在缺省情况下处于启用状态,且由 auditconfig 命令配置。如果在全局区域中设置 perzone 审计策略,区域管理员可以在其非全局区域中启用、刷新和禁用服务。
启用审计服务后,如果更改了审计插件的配置,此过程将更新审计服务。
开始之前
您必须分配有 Audit Control(审计控制)权限配置文件。
有关更多信息,请参见如何获取管理权限。
# audit -s
系统基于与每个进程相关联的审计预选掩码生成审计记录。刷新审计服务不会更改现有进程的掩码。要显式重置现有进程的预选掩码,请参见如何更新已登录用户的预选掩码。
示例 28-22 刷新启用的审计服务
在本示例中,管理员重新配置审计、验证更改,然后刷新审计服务。
首先,管理员添加临时策略。
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
然后,管理员指定队列控制。
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
随后,管理员指定插件属性。
对于 audit_binfile 插件,管理员将删除 qsize 值。
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/audit/sys1.1,/var/audit;
p_minfree=2;p_fsize=4G;
Queue size: 200
# auditconfig -setplugin audit_binfile active "" ""
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
Attributes: p_dir=/audit/sys1.1,/var/audit
p_minfree=2;p_fsize=4G;
最后的空引号 ("") 将插件的队列大小设置为缺省值。
对于 audit_syslog 插件,管理员将指定要发送到 syslog 的成功登录和注销事件以及失败的可执行文件。此插件的 qsize 设置为 50。
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 50
# auditconfig -getplugin audit_syslog
auditconfig -getplugin audit_syslog
Plugin: audit_syslog (active)
Attributes: p_flags=+lo,-ex;
Queue size: 50管理员不配置也不使用 audit_remote 插件。
不再设置临时 zonename 策略。
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
队列控制保留原样。
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
audit_binfile 插件没有指定的队列大小。audit_syslog 插件具有指定的队列大小。
# auditconfig -getplugin
Plugin: audit_binfile (active)
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Plugin: audit_syslog (active)
Attributes: p_flags=+lo,-ex;
Queue size: 50
...本过程显示设置了 perzone 审计策略后如何在全局区域和非全局区域中禁用审计。
如果没有设置 perzone 审计策略,将禁用所有区域的审计。
如果在全局区域中设置了 perzone 审计策略,该策略在启用了审计的非全局区域中保持有效。
由于在全局区域中设置了 perzone 策略,因此非全局区域将继续在全局区域重新引导和非全局区域重新引导时收集审计记录。
开始之前
您必须分配有 Audit Control(审计控制)权限配置文件。
有关更多信息,请参见如何获取管理权限。
有关更多信息,请参见 audit(1M) 和 auditd(1M) 手册页。
# audit -t
如果没有设置 perzone 审计策略,此命令将禁用所有区域中的审计。
如果设置了 perzone 审计策略,非全局区域管理员必须在非全局区域中禁用服务。
zone1 # audit -t
本过程在管理员禁用审计服务后为所有区域启用该服务。要在非全局区域中启动审计服务,请参见示例 28-23。
开始之前
要启用或禁用审计服务,您必须分配有 Audit Control(审计控制)权限配置文件。
有关更多信息,请参见如何获取管理权限。
# audit -s
有关更多信息,请参见 audit(1M) 手册页。
# auditconfig -getcond audit condition = auditing
示例 28-23 在非全局区域中启用审计
在本示例中,区域管理员执行以下操作后,为 zone1 启用审计服务:
全局区域管理员在全局区域中设置 perzone 策略。
非全局区域的区域管理员配置审计服务和每用户定制。
然后,区域管理员为区域启用审计服务。
zone1# audit -s
|