规划审计（任务）

您需要认真选择要审计的活动类型，同时还需要收集有用的审计信息。您还需要仔细规划要审计的对象及内容。如果使用缺省 audit_binfile 插件，审计文件会快速增长进而填满可用空间，因此必须分配足够的磁盘空间。

以下任务列表列出了规划磁盘空间以及要记录的事件时所需执行的主要任务。

如何规划区域中的审计

如果系统包含非全局区域，可通过审计全局区域来审计这些区域，或者可以单独为每个非全局区域配置、启用和禁用审计服务。例如，您可以仅审计非全局区域，而不审计全局区域。

有关如何权衡选择的介绍，请参见在具有 Oracle Solaris 区域的系统上审计。

• 选择以下选项之一：
  • 方法 1－为所有区域配置单个审计服务。

    以相同方式审计所有区域可以创建一个单映像审计迹。使用 audit_binfile 或 audit_remote 插件且系统上的所有区域都属于一个管理域时，会出现单映像审计迹。然后，可以很容易地比较审计记录，因为每个区域的记录都以相同的设置预选。

    该配置将所有区域视为一个系统的组成部分。全局区域在一个系统上只运行一个审计服务，并收集所有区域的审计记录。您只能在全局区域中定制 audit_class 和 audit_event 文件，然后将这些文件复制到各个非全局区域。

    1. 对每个区域使用相同的命名服务。

       ---

       注 - 如果已在非全局区域中定制命名服务文件，但未设置 perzone 策略，那么需要谨慎地使用审计工具来选择可用的记录。一个区域中的用户 ID 可以指不同区域中使用相同 ID 的不同用户。

       ---

    2. 启用包括区域名称在内的审计记录。

       要使区域名称成为审计记录的一部分，请在全局区域中设置 zonename 策略。然后，可以使用 auditreduce 命令按区域从审计迹中选择审计事件。有关示例，请参见 auditreduce(1M) 手册页。

    要规划单映像审计迹，请参阅如何规划要审计的对象及内容。从第一步开始。全局区域管理员还必须留出部分存储，如如何规划审计记录的磁盘空间中所述。

  • 方法 2－为每个区域配置一个审计服务。

    如果不同区域使用不同的命名服务数据库，或者区域管理员想要控制他们区域中的审计，请选择配置按区域审计。

    ---

    注 - 要审计非全局区域，必须设置 perzone 策略，但不必在全局区域中启用审计服务。配置非全局区域审计，并从全局区域单独启用和禁用其审计服务。

    ---

    • 配置按区域审计时，需要在全局区域中设置 perzone 审计策略。如果在第一次引导非全局区域之前设置按区域审计，则在第一次引导区域时开始审计。要设置审计策略，请参见如何配置每区域审计。

    • 每个区域管理员为该区域配置审计。

      非全局区域管理员可以设置 perzone 和 ahlt 以外的全部策略选项。

    • 每个区域管理员都可以启用或禁用区域中的审计。

    • 要在审查期间生成可追溯到其来源区域的记录，请设置 zonename 审计策略。

    要规划按区域审计，请参见如何规划要审计的对象及内容。可以跳过第一步。如果 audit_binfile 插件处于活动状态，每个区域管理员还必须为每个区域留出部分存储，如如何规划审计记录的磁盘空间中所述。

如何规划要审计的对象及内容

开始之前

如果要实现非全局区域，请在使用此过程之前查看如何规划区域中的审计。

1. 确定是否需要单系统映像审计迹。

   ---

   注 - 此步骤仅适用于 audit_binfile 插件。

   ---

   单一管理域中的系统可以创建单系统映像审计迹。如果您的系统使用不同的命名服务，请从步骤 2 开始。然后，针对每个系统完成其余的规划步骤。

   要为站点创建单系统映像审计迹，安装中的每个系统都应进行如下配置：

   • 针对所有系统，使用相同的命名服务。

     要正确解释审计记录，passwd、group 和 hosts 文件必须一致。

   • 在所有系统上以相同的方式配置审计服务。有关显示和修改服务设置的信息，请参见 auditconfig(1M) 手册页。

   • 对于所有系统，使用相同的 audit_warn、audit_event 和 audit_class 文件。

2. 确定审计策略。

   缺省情况下，仅启用 cnt 策略。

   使用 auditconfig -lspolicy 命令查看可用策略选项的说明。

   • 有关策略选项的影响，请参见了解审计策略。

   • 有关 cnt 策略的影响，请参见同步事件和异步事件的审计策略。

   • 要设置审计策略，请参见如何更改审计策略。

3. 确定是否要修改事件到类的映射。

   几乎所有情况下，缺省映射便已够用。但是，如果添加新类、更改类定义或确定特定系统调用的记录没有用处，可能需要修改事件到类的映射。

   有关示例，请参见如何更改审计事件的类成员身份。

4. 确定要预选的审计类。

   添加审计类或更改缺省类的最佳时间是在用户登录到系统之前。

   在 auditconfig 命令中使用 -setflags 和 -setnaflags 选项预选的审计类适用于所有用户和进程。可以针对成功、失败或两者预选类。

   有关审计类的列表，请阅读 /etc/security/audit_class 文件。

5. 确定系统范围预选的用户修改。

   如果您确定应当以不同的方式从系统对某些用户进行审计，则可以为个别用户或权限配置文件修改 audit_flags 安全属性。如果已显式为用户设置了审计标志，或者为用户分配了包含显式审计标志的权限配置文件，则会修改用户预选掩码。

   有关过程，请参见如何配置用户审计特征。有关有效的审计标志值，请参见搜索指定安全属性的顺序。

6. 决定如何管理 audit_warn 电子邮件别名。

   每当审计系统检测到需要管理干预的情况时，就会运行 audit_warn 脚本。缺省情况下，audit_warn 脚本会向 audit_warn 别名发送电子邮件，并向控制台发送消息。

   要设置别名，请参见如何配置 audit_warn 电子邮件别名。

7. 确定收集审计记录的格式和位置。

   您有三个选择。

   • 缺省情况下，在本地存储二进制审计记录。缺省存储目录为 /var/audit。要进一步配置 audit_binfile 插件，请参见如何为审计文件创建 ZFS 文件系统。

   • 使用 audit_remote 插件将二进制审计记录以流方式传输到远程的受保护系统信息库。您必须指定记录的接收者。有关要求，请参见管理远程系统信息库。有关过程，请参见如何向远程系统信息库发送审计文件。

   • 使用 audit_syslog 插件将审计记录摘要发送到 syslog。有关过程，请参见如何配置 syslog 审计日志。

     有关二进制和 syslog 格式的比较，请参见审计日志。

8. 确定向管理员发出有关收缩磁盘空间的警告的时间。

   ---

   注 - 此步骤仅适用于 audit_binfile 插件。

   ---

   当审计文件系统上的磁盘空间低于最低空闲空间百分比或软限制时，审计服务将会切换到下一个可用审计目录。然后，服务将发送一条警告，指出已超过软限制。

   要设置最低空闲空间百分比，请参见示例 28-17。

9. 决定当所有审计目录已满时需要执行的操作。

   ---

   注 - 此步骤仅适用于 audit_binfile 插件。

   ---

   在缺省配置中，audit_binfile 插件处于活动状态，并且设置了 cnt 策略。在此配置中，内核审计队列已满时，系统将继续工作。系统会对丢弃的审计记录进行计数，但是不会记录事件。要获得更大的安全性，可以禁用 cnt 策略，然后启用 ahlt 策略。当异步事件无法放入审计队列时，ahlt 策略会停止系统。

   有关这些策略选项的说明，请参见同步事件和异步事件的审计策略。要配置这些策略选项，请参见示例 28-6。

   但是，如果 audit_binfile 队列已满，而另一活动插件的队列未满，则内核队列将继续向未满的插件发送记录。audit_binfile 队列可再次接收记录时，审计服务将恢复向其发送记录。

   ---

   注 - 如果至少一个插件的队列正在接收审计记录，则不会触发 cnt 或 ahlt 策略。

   ---

如何规划审计记录的磁盘空间

audit_binfile 插件可创建审计迹。审计迹需要专用的文件空间。此空间必须可用且安全。对于初始存储，系统使用 /var/audit 文件系统。您可以为审计文件配置其他审计文件系统。以下过程介绍了规划审计迹存储时必须解决的问题。

开始之前

如果要实现非全局区域，请在使用此过程之前完成如何规划区域中的审计。

您正在使用 audit_binfile 插件。

1. 确定站点所需的审计量。

   针对审计迹平衡磁盘空间可用性和站点的安全需求。

   有关如何在保持站点安全的同时降低空间需求，以及如何设计审计存储的指南，请参见控制审计成本和有效审计。

   有关实际步骤，请参见如何减少生成的审计记录数目、如何压缩专用文件系统上的审计文件和示例 28-30。

2. 确定要审计的系统并配置它们的审计文件系统。

   创建计划使用的所有文件系统的列表。有关配置准则，请参见存储和管理审计迹和 auditreduce(1M) 手册页。要指定审计文件系统，请参见如何为审计迹指定审计空间。

3. 同步所有系统上的时钟。

   有关更多信息，请参见确保时间戳可靠。

以流方式将审计记录传输到远程存储前如何执行准备工作

audit_remote 插件将二进制的审计迹发送到 ARS，采用的格式与 audit_binfile 插件向本地审计文件进行写入时采用的格式相同。audit_remote 插件使用 libgss 库对 ARS 进行验证，并且使用一种 GSS-API 机制保护传输的私密性和完整性。有关参考信息，请参见什么是 Kerberos 服务？和Kerberos 组件。

当前唯一受支持的 GSS-API 机制是 kerberosv5。有关更多信息，请参见 mech(4) 手册页。

开始之前

您计划使用 audit_remote 插件。

1. 为被审计系统创建一个 Kerberos 领域。
   1. 安装主 KDC 软件包。

      您可以使用将用作 ARS 的系统，或者使用邻近的系统。ARS 会向主 KDC 发送大量的验证通信流量。

      如果 Kerberos 软件包已安装在系统上，则输出类似于以下内容：

      # pkg search -l kerberos-5
      INDEX      ACTION       VALUE                  PACKAGE
      pkg.summary   set  Kerberos version 5 support  pkg:/service/security/kerberos-5@vn
      pkg.summary   set  Kerberos V5 Master KDC      pkg:/system/security/kerberos-5@vn

      第一个命令检查是否已安装了 Kerberos V5 Master KDC 软件包。第二个命令安装该软件包。

      # pkg info system/security/kerberos-5
      pkg: info: no packages matching these patterns are installed on the system.
      # pkg install pkg:/system/security/kerberos-5

      在主 KDC 上，可以使用 Kerberos kdcmgr 和 kadmin 命令来管理领域。有关参考信息，请参见 kdcmgr(1M) 和 kadmin(1M) 手册页。

2. 在将向 ARS 发送审计记录的每一个被审计系统上，安装主 KDC 软件包。

   # pkg install pkg:/system/security/kerberos-5

   该软件包包含 kclient 命令。在这些系统上，运行 kclient 命令来与 KDC 进行连接。有关参考信息，请参见 kclient(1M) 手册页。

3. 同步 KDC 领域中的时钟。

   如果被审计系统与 ARS 之间的时钟相位差太大，则尝试连接时会失败。在建立连接后，ARS 上的本地时间决定了所存储的审计文件的名称，如二进制审计文件名称约定中所述。

   有关时钟的更多信息，请参见确保时间戳可靠。