탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
감사 서비스는 영역의 감사 이벤트를 포함한 전체 시스템을 감사합니다. 비전역 영역을 설치한 시스템은 모든 영역을 동일하게 감사하거나 영역별로 감사를 구성할 수 있습니다. 자세한 내용은 영역에서 감사를 계획하는 방법을 참조하십시오.
전역 영역 감사와 동일하게 비전역 영역을 감사할 경우 비전역 영역의 관리자가 감사 레코드에 액세스하지 못할 수 있습니다. 또한 전역 영역 관리자는 비전역 영역에 있는 사용자의 감사 사전 선택 마스크를 수정할 수 있습니다.
비전역 영역을 개별적으로 감사할 경우에는 감사 레코드가 비전역 영역 및 비전역 영역 루트의 전역 영역에 표시됩니다.
이 절차에서는 모든 영역을 동일하게 감사할 수 있습니다. 이 방법에는 가장 작은 컴퓨터 오버헤드와 관리 리소스가 요구됩니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
다음 예외 사항을 적용하여 감사 서비스 구성(작업 맵)에서 작업을 완료합니다.
perzone 감사 정책을 사용으로 설정하지 않습니다.
zonename 정책을 설정합니다. 이 정책은 영역의 이름을 모든 감사 레코드에 추가합니다.
# auditconfig -setpolicy +zonename
audit_class 또는 audit_event 파일을 수정한 경우 두 가지 방법 중 하나로 복사합니다.
파일을 루프백 마운트할 수 있습니다.
파일을 복사할 수 있습니다.
비전역 영역이 실행되고 있어야 합니다.
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone add fs set special=/etc/security/audit-file set dir=/etc/security/audit-file set type=lofs add options [ro,nodevices,nosetuid] commit end exit
# zoneadm -z non-global-zone boot
나중에 전역 영역에서 감사 구성 파일을 수정할 경우 각 영역을 재부트하여 비전역 영역에서 루프백 마운트된 파일을 새로 고칩니다.
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
나중에 전역 영역에서 이러한 파일 중 하나를 변경할 경우 변경된 파일을 비전역 영역에 복사해야 합니다.
전역 영역에서 감사 서비스를 다시 시작하거나 영역이 재부트될 때 비전역 영역이 감사됩니다.
예 28-23 감사 구성 파일을 영역의 루프백 마운트로 마운트
이 예에서는 시스템 관리자가 audit_class , audit_event 및 audit_warn 파일을 수정했습니다.
audit_warn 파일은 전역 영역에서만 읽히므로 비전역 영역에 마운트할 필요가 없습니다.
이 시스템 machine1에서 관리자는 machine1–webserver 및 machine1–appserver의 두 비전역 영역을 만들었습니다. 관리자는 감사 구성 파일 수정을 마쳤습니다. 관리자가 나중에 파일을 수정할 경우 영역을 재부트하여 루프백 마운트를 다시 읽어야 합니다.
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end add fs set special=/etc/security/audit_event set dir=/etc/security/audit_event set type=lofs add options [ro,nodevices,nosetuid] commit end exit # zonecfg -z machine1-appserver add fs set special=/etc/security/audit_class set dir=/etc/security/audit_class set type=lofs add options [ro,nodevices,nosetuid] commit end ... exit
비전역 영역이 재부트되면 audit_class 및 audit_event 파일은 영역에서 읽기 전용입니다.
이 절차에서는 별도의 영역 관리자가 해당 영역에서 감사 서비스를 제어할 수 있습니다. 전체 정책 옵션 목록은 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
감사를 구성하려면 Audit Configuration 권한 프로파일이 지정된 관리자여야 합니다. 감사 서비스를 사용으로 설정하려면 Audit Control 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
주 - 전역 영역에서 감사 서비스를 사용으로 설정할 필요는 없습니다.
특히 perzone 또는 ahlt 정책을 비전역 영역에 추가하지 않습니다.
myzone# audit -s
예 28-24 비전역 영역에서 감사를 사용 안함으로 설정
이 예는 perzone 감사 정책이 설정된 경우에 작동합니다. noaudit 영역의 영역 관리자는 해당 영역에 대한 감사를 사용 안함으로 설정합니다.
noauditzone # auditconfig -getcond audit condition = auditing noauditzone # audit -t noauditzone # auditconfig -getcond audit condition = noaudit