ゾーンでの監査サービスの構成 (タスク)

監査サービスは、ゾーン内での監査イベントも含め、システム全体を監査します。非大域ゾーンがインストールされているシステムでは、すべてのゾーンを同様に監査したり、ゾーンごとに監査を構成したりできます。詳細は、「ゾーン内の監査の計画方法」を参照してください。

非大域ゾーンを、大域ゾーンを監査する場合とまったく同様に監査する場合は、非大域ゾーン管理者が監査レコードにアクセスできない可能性があります。また、大域ゾーン管理者は、非大域ゾーン内のユーザーの監査事前選択マスクを変更することもできます。

非大域ゾーンを個別に監査する場合は、監査レコードが非大域ゾーンのルートから非大域ゾーンと大域ゾーンに表示されます。

すべてのゾーンの監査を同様に構成する方法

この手順に従えば、すべてのゾーンを同様に監査できます。この方法を使えば、必要とされるコンピュータオーバーヘッドと管理リソースが最小になります。

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

1. 大域ゾーンの監査を構成します。

   「監査サービスの構成 (タスクマップ)」のタスクを行います。ただし、次の点は例外です。

   • perzone 監査ポリシーを有効にしないでください。

   • zonename ポリシーを設定します。このポリシーによって、ゾーンの名前がすべての監査レコードに追加されます。

     # auditconfig -setpolicy +zonename

2. 監査構成ファイルを変更した場合は、それらのファイルを大域ゾーンからすべての非大域ゾーンにコピーします。

   audit_class または audit_event ファイルを変更した場合は、次の 2 つの方法のどちらかでコピーします。

   • これらのファイルをループバックマウントできます。

   • これらのファイルをコピーできます。

   非大域ゾーンが動作している必要があります。

   • 変更された audit_class および audit_event ファイルをループバックファイルシステム (lofs) としてマウントします。
     1. 大域ゾーンから、非大域ゾーンを停止します。

        # zoneadm -z non-global-zone halt

     2. 大域ゾーンで変更した監査構成ファイルごとに読み取り専用のループバックマウントを 1 つずつ作成します。

        # zonecfg -z non-global-zone
         add fs
            set special=/etc/security/audit-file
            set dir=/etc/security/audit-file
            set type=lofs
            add options [ro,nodevices,nosetuid]
            commit
            end
         exit

     3. 変更を有効にするには、非大域ゾーンをブートします。

        # zoneadm -z non-global-zone boot

        あとで、大域ゾーンで監査構成ファイルを変更した場合は、ループバックマウントされたファイルを非大域ゾーンでリフレッシュするために各ゾーンをリブートします。

   • ファイルをコピーします。
     1. 大域ゾーンから、各非大域ゾーン内の /etc/security ディレクトリを一覧表示します。

        # ls /zone/zonename/root/etc/security/

     2. 変更された audit_class および audit_event ファイルを各ゾーンの /etc/security ディレクトリにコピーします。

        # cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file

        あとで、大域ゾーンでこれらのファイルのいずれかを変更した場合は、変更されたファイルを非大域ゾーンにコピーする必要があります。

   非大域ゾーンは、大域ゾーンで監査サービスが再開されたときか、またはゾーンがリブートされたときに監査されます。

例 28-23 ゾーンで監査構成ファイルをループバックマウントとしてマウントする

この例では、システム管理者が audit_class、audit_event、および audit_warn ファイルを変更しました。

audit_warn ファイルは大域ゾーンでのみ読み取られるため、非大域ゾーンにマウントする必要はありません。

このシステム machine1 上で、管理者は 2 つの非大域ゾーン machine1–webserver と machine1–appserver を作成しました。管理者は、監査構成ファイルの変更を完了しました。管理者があとでこれらのファイルを変更した場合は、ループバックマウントを再読み込みするために、ゾーンをリブートする必要があります。

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
 add fs
    set special=/etc/security/audit_event
    set dir=/etc/security/audit_event
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
  exit
# zonecfg -z machine1-appserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
...
 exit

非大域ゾーンがリブートされると、audit_class および audit_event ファイルは、これらのゾーンで読み取り専用になります。

ゾーンごとの監査を構成する方法

この手順に従えば、個々のゾーン管理者が自身のゾーン内で監査サービスを制御できます。ポリシーオプションの完全な一覧については、auditconfig(1M) のマニュアルページを参照してください。

始める前に

監査を構成するには、Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。監査サービスを有効にするには、Audit Control 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

1. 大域ゾーンで、監査を構成します。
   1. 「監査サービスの構成 (タスクマップ)」のタスクを行います。
   2. perzone 監査ポリシーを追加してください。コマンドについては、例 28-8 を参照してください。

      ---

      注 - 大域ゾーンで監査サービスを有効にする必要はありません。

      ---

2. 監査を予定している各非大域ゾーンで、監査ファイルを構成します。
   1. 「監査サービスの構成 (タスクマップ)」のタスクを行います。
   2. システム全体の監査設定は構成しないでください。

      特に、非大域ゾーンに perzone または ahlt ポリシーを追加しないでください。

3. 使用するゾーンで監査を有効にします。

   myzone# audit -s

例 28-24 非大域ゾーンで監査を無効にする

この例は、perzone 監査ポリシーが設定されている場合に機能します。noaudit ゾーンのゾーン管理者が、そのゾーンの監査を無効にします。

noauditzone # auditconfig -getcond
audit condition = auditing
noauditzone # audit -t
noauditzone # auditconfig -getcond
audit condition = noaudit