启用并使用审计

Logical Domains Manager 使用 Oracle Solaris OS 审计功能检查控制域上发生的操作和事件的历史记录。这些历史记录保存在日志中，其中包括执行的操作、完成时间、执行者以及产生的后果。

您可以基于系统上运行的 Oracle Solaris OS 的版本，按如下方式启用和禁用审计功能：

• Oracle Solaris 10 OS。使用 bsmconv 或 bsmunconv 命令。请参见 bsmconv(1M) 和 bsmunconv(1M) 手册页以及《系统管理指南：安全性服务》中的第 VII 部分, "Oracle Solaris 审计"。

• Oracle Solaris 11 OS。使用 audit 命令。请参见 audit(1M) 手册页和《Oracle Solaris 管理：安全服务》中的第 VII 部分, "在 Oracle Solaris 中审计"。

如何启用审计

您必须在系统上配置和启用 Oracle Solaris 审计功能。Oracle Solaris OS 审计功能用于检查控制域上发生的操作和事件的历史记录。这些历史记录保存在日志中，其中包括执行的操作、执行时间、执行者以及受影响的内容。Oracle Solaris 11 审计默认情况下已启用，但是您仍然必须执行一些配置步骤。

1. 向 /etc/security/audit_event 和 /etc/security/audit_class 文件中添加定制内容。

   这些定制内容在 Oracle Solaris 升级之后会保留下来，但是，在全新安装 Oracle Solaris 之后应当重新添加这些定制内容。

   1. 将以下条目添加到 audit_event 文件中（如果尚未存在的话）：

      40700:AUE_ldoms:ldoms administration:vs

   2. 将以下条目添加到 audit_class 文件中（如果尚未存在的话）：

      0x10000000:vs:virtualization_software

2. (Oracle Solaris 10) 将 vs 类添加到 /etc/security/audit_control 文件中。

   以下示例 /etc/security/audit_control 片段说明您可以如何指定 vs 类：

   dir:/var/audit
   flags:lo,vs
   minfree:20
   naflags:lo,na

3. (Oracle Solaris 10) 启用审计功能。
   1. 运行 bsmconv 命令。

      # /etc/security/bsmconv

   2. 重新引导系统。
4. (Oracle Solaris 11) 预先选择 vs 审计类。
   1. 确定已经选择哪些审计类。

      确保已选择的所有审计类均属于更新的类集合。以下示例说明已经选择 lo 类：

      # auditconfig -getflags
      active user default audit flags = lo(0x1000,0x1000)
      configured user default audit flags = lo(0x1000,0x1000)

   2. 添加 vs 审计类。

      # auditconfig -setflags [class],vs

      class 为零个或更多审计类，用逗号分隔。您可以在 /etc/security/audit_class 文件中查看审计类列表。务必要包括 Oracle VM Server for SPARC 系统上的 vs 类。

      例如，以下命令选择 lo 和 vs 类：

      # auditconfig -setflags lo,vs

   3. （可选）无论您要以管理员还是配置者的身份审计进程，均请注销系统。

      如果不想注销，请参见《Oracle Solaris 管理：安全服务》中的"如何更新已登录用户的预选掩码"。

5. 确认审计软件正在运行。

   # auditconfig -getcond

   如果审计软件正在运行，则输出中会出现 audit condition = auditing。

如何禁用审计

• 禁用审计功能。
  • 在 Oracle Solaris 10 系统上禁用审计功能。
    1. 运行 bsmunconv 命令。

       # /etc/security/bsmunconv
       Are you sure you want to continue? [y/n] y
       This script is used to disable the Basic Security Module (BSM).
       Shall we continue the reversion to a non-BSM system now? [y/n] y
       bsmunconv: INFO: removing c2audit:audit_load from /etc/system.
       bsmunconv: INFO: stopping the cron daemon.
       
       The Basic Security Module has been disabled.
       Reboot this system now to come up without BSM.

    2. 重新引导系统。
  • 在 Oracle Solaris 11 系统上禁用审计功能。
    1. 运行 audit -t 命令。

       # audit -t

    2. 确认审计软件不再运行。

       # auditconfig -getcond
       audit condition = noaudit

如何查看审计记录

• 使用以下方法之一查看 vs 审计输出：
  • 使用 auditreduce 和 praudit 命令查看审计输出。

    # auditreduce -c vs | praudit
    # auditreduce -c vs -a 20060502000000 | praudit

  • 使用 praudit -x 命令以 XML 格式显示审计记录。

如何轮转审计日志

• 使用 audit -n 命令轮转审计日志。

  轮转审计日志会关闭当前的审计文件并打开当前审计目录中的一个新日志。