| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
マニュアルページセクション 1M: システム管理コマンド Oracle Solaris 11.1 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
マニュアルページセクション 1M: システム管理コマンド Oracle Solaris 11.1 Information Library (日本語) |
- 監査サービスデーモン
/usr/sbin/auditd
監査サービスデーモン auditd は、ローカル (audit_binfile(5), audit_syslog(5) および audit_remote(5) を参照) またはリモート (次の「監査リモートサーバー」を参照) で生成された監査データを管理します。監査が有効になっている場合、auditd は構成を読み取って次のことを行います。
監査ポリシーを構成する。
監査キュー制御パラメータを構成する。
イベント - クラスマッピングを構成する。
デフォルト監査マスクを設定する。
ローカル監査が有効な場合は (次の「ローカル監査」を参照)、1 つ以上のプラグインをロードします。
Solaris には 3 つのプラグインが用意されています。audit_binfile(5) はバイナリ監査データをファイルに書き込みます。audit_remote(5) はプライバシと完全性が保護された状態で、バイナリ監査データを認証済みサーバーに送信します。audit_syslog(5) は監査レコードのテキストサマリーを syslog デーモンに送信します。
カーネルから監査データを読み取り、そのデータを各アクティブプラグインに渡します。
audit_warn(1M) スクリプトを実行してさまざまな状況を警告します。
リモート監査 (ars(5)) が有効な場合は、リクエストを処理して、リモートで生成された監査データを格納します。
監査サービスを制御するために、audit(1M) が使用されます。これによって、auditd が次のことを行う可能性があります。
リモート監査サーバーへの接続を閉じることで、それぞれの監査ファイルを閉じます。
現在のプロパティーに基づいてサービスを起動してリフレッシュする。
監査トレールを閉じて、ローカル監査およびリモート監査サービスを無効にします。
監査サービスを構成するために、auditconfig(1M) が使用されます。これによって、アクティブで持続的な次のものを構成できます。
監査ポリシー
監査キュー制御パラメータ
デフォルト監査マスク
読み込まれるプラグイン
プラグイン属性
監査リモートサーバーの状態、属性、および接続グループ
ローカルシステムで生成される監査レコードを収集すること。レコードは、大域ゾーンまたは非大域ゾーン、あるいはその両方で生成される場合があります。
監査リモートサーバー (ARS) は、監査中かつアクティブな audit_remote プラグインで構成されているシステムから監査レコードを受信して格納します。監査対象のシステムは、ARS と区別するため、ローカルで監査されるシステムと呼ばれることがあります。
1 つ以上の監査デーモンプラグインがアクティブに構成されている場合、監査サービスデーモンはローカル監査を有効にします。
サーバーが非アクティブに構成されておらず (auditconfig(1M) の -setremote サーバーオプションを参照)、1 つ以上の接続グループがアクティブな場合、監査リモートサーバー機能は有効になります。詳細は、「監査リモートサーバー」のセクションを参照してください。
ローカル監査と監査リモートサーバーは個別に構成できます。
監査リモートサーバー (ARS) は、auditd の不可欠な部分です。これは、audit_remote(5) プラグインに対応します。サーバーは、その構成に従って、プラグインにより送信されるデータを取得、処理、および格納できます。
ARS は、無効な Solaris 監査コンポーネントとして提供されます。リモート監査トレールの処理に使用するには、事前に構成が必要です。ARS の構成は二重になっており、最初にセキュアな監査データトランスポートに使用されるベースとなるセキュリティー機構を構成し (audit_remote(5) を参照)、次に監査サブシステムを適切に構成する必要があります。
ARS を監視および構成するには、auditconfig(1M) -setremote および -getremote オプションを使用します。構成は、server の構成と group の構成に分けられます。server 構成では一般的な ARS パラメータを変更でき、group キーワードでは同じローカルストレージパラメータを共有するホストのセットである接続グループを構成できます。
サーバー構成属性サーバーが待機するアドレス。デフォルトは空の listen_address 属性で、すべてのローカルアドレスで待機します。
ローカル待機ポートで、デフォルトは 0 で 16162 を意味します。solaris-audit インターネットサービス名に関連付けられたポート。services(4) を参照してください。
接続の確立に成功しない場合、サーバーはログイン猶予時間 (秒) 後に接続を切り離します。デフォルトは 0 で、制限はありません。
サーバーが新しい接続を拒否し始める、サーバーへの未認証の同時接続数。この値を begin:rate:full 形式で指定すると、ランダム早期ドロップモードを許可できます (例、10:30:60)。これは、現時点で (start フィールドから) 10 個の未認証接続が存在する場合に、rate/100 (この例では 30%) の確率で ARS が接続試行を拒否することを意味します。確率は直線的に増加し、未認証接続数が full (この例では 60) に達すると、すべての接続試行が拒否されます。
属性は audit_binfile(5) で定義されたぞれぞれの p_* 属性に従い、簡潔に示すと次のようになります:
ホスト監査データ単位の格納用ディレクトリ。
格納される各監査トレールファイルの最大サイズのデフォルトは 0 で、制限はありません。
audit_binfile(5) が audit_warn(1M) により管理者に通知する前の、binfile_dir を含むファイルシステムの最小空き領域で、デフォルトは 0 (制限なし) です。
サーバーへの監査データの送信を許可する、指定された接続グループ内のホストを定義します。コンマは、ホストエントリが複数存在する場合の区切り記号です。hosts が空の場合、この種の接続グループはワイルドカード接続グループと呼ばれます。新しい接続をほかのいかなる (非ワイルドカード) 接続グループにも分類できず、かつ構成済みのアクティブなワイルドカード接続グループが存在する場合、新しい接続はその接続グループに分類されます。アクティブなワイルドカード接続グループは 1 つだけ構成できます。
構成例については、「使用例」を参照してください。
包括的な構成の説明と例については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の該当する章を参照してください。
プラグインに送信される監査データ用キューの最大レコード数を指定するには、プラグインに指定する qsize パラメータによって指定されます。省略された場合は現在の hiwater マークが使用されます。auditconfig(1M) の -getqctrl オプションを参照してください。この最大数に達すると、auditd は cnt 監査ポリシー (auditconfig(1M) を参照) に応じてプロセスをブロックするかデータを破棄します。
監査サービスデーモンと監査プラグインは、特定の条件下でスクリプト audit_warn(1M) を呼び出します。詳細については、audit_warn(1M) を参照してください。
例 1 監査リモートサーバーの構成
次の例では、監査リモートサーバーを、特定のアドレスで待機するように構成する手順を示します。ワイルドカード接続グループと非ワイルドカード接続グループが、1 つずつ作成されます。非ワイルドカード接続グループ構成は、リモート監査データのアドレス指定を tic.cz.example.com および tac.us.example.com から行ないます。トレールは、/var/audit/remote に格納されます。
# Print the current audit remote server configuration. # Both server and connection groups (if any) is displayed. # auditconfig -getremote # Set address the audit remote server will listen on. # auditconfig -setremote server "listen_address=192.168.0.1" # Create two connection groups. Note that by default the # connection group is created with no hosts specified # (wild card connection group). # auditconfig -setremote group create clockhouse # auditconfig -setremote group create sink # Add hosts to the connection group (convert the wild card # connection group no non-wild card one). Set the storage # directory and activate the connection group. # auditconfig -setremote group active clockhouse \ # "hosts=tic.cz.example.com,tac.us.example.com,\ # binfile_dir=/var/audit/remote" # Activate the wild card connection group. # auditconfig -setremote group active sink # Verify the audit remote server configuration. # auditconfig -getremote # Start or refresh the audit service. # audit -s
etc/security/audit/audit_class
etc/security/audit/audit_event
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
audit(1M), audit_warn(1M), auditconfig(1M), praudit(1M), audit_class(4), audit_class(4), audit_event(4), services(4), ars(5), attributes(5), audit_binfile(5), audit_flags(5), audit_remote(5), audit_syslog(5), smf(5)
『Oracle Solaris 11.1 の管理: セキュリティーサービス』の監査に関するセクションを参照してください。
監査が有効になっている場合は、auditd がブート時に大域ゾーンに読み込まれます。
監査ポリシー perzone が設定されている場合は、auditd は各ゾーン内で実行され、非大域ゾーンのブート時に自動的に起動されます。perzone ポリシーの設定時にゾーンが実行されている場合、非大域ゾーンで監査を手動で開始する必要があります。非大域ゾーンで監査を開始するときに、システムや非大域ゾーンをリブートする必要はありません。auditd は audit -s で起動でき、ゾーンのその後のブート時に自動的に起動します。
auditd が非大域ゾーンで実行されている場合、非大域ゾーンの smf(5) リポジトリと /etc/security ディレクトリのファイル audit_class、user_attr、および audit_event から構成が取得されます。
構成を変更しても、それらの変更はプロセスの事前選択マスクを変更しないため、現在実行中の監査セッションには影響しません。実行中プロセスで事前選択マスクを変更するには、auditconfig コマンド (auditconfig(1M) を参照) の –setpmask オプションを使用します。ユーザーがログアウトしてから再度ログインすると、次回の監査セッションで新しい構成変更が反映されます。
監査サービス FMRI は svc:/system/auditd:default です。
|
