JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:安全服务     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  病毒扫描服务(任务)

5.  控制对设备的访问(任务)

6.  使用 BART 验证文件完整性(任务)

7.  控制对文件的访问(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  Oracle Solaris 中的安全属性(参考信息)

第 4 部分加密服务

11.  加密框架(概述)

12.  加密框架(任务)

13.  密钥管理框架

第 5 部分验证服务和安全通信

14.  使用可插拔验证模块

15.  使用 安全 Shell

16.  安全 Shell(参考信息)

17.  使用简单验证和安全层

18.  网络服务验证(任务)

第 6 部分Kerberos 服务

19.  Kerberos 服务介绍

20.  规划 Kerberos 服务

21.  配置 Kerberos 服务(任务)

22.  Kerberos 错误消息和故障排除

23.  管理 Kerberos 主体和策略(任务)

24.  使用 Kerberos 应用程序(任务)

25.  Kerberos 服务(参考信息)

第 7 部分在 Oracle Solaris 中审计

26.  审计(概述)

27.  规划审计

规划审计(任务)

如何规划区域中的审计

如何规划要审计的对象及内容

如何规划审计记录的磁盘空间

以流方式将审计记录传输到远程存储前如何执行准备工作

了解审计策略

控制审计成本

延长审计数据处理时间产生的成本

分析审计数据产生的成本

存储审计数据产生的成本

有效审计

28.  管理审计(任务)

29.  审计(参考信息)

词汇表

索引

规划审计(任务)

您需要认真选择要审计的活动类型,同时还需要收集有用的审计信息。您还需要仔细规划要审计的对象及内容。如果使用缺省 audit_binfile 插件,审计文件会快速增长进而填满可用空间,因此必须分配足够的磁盘空间。

以下任务列表列出了规划磁盘空间以及要记录的事件时所需执行的主要任务。

任务
参考
确定针对非全局区域的审计策略
确定要审计的对象及内容
规划审计迹的存储空间
规划向远程服务器传输审计迹

如何规划区域中的审计

如果系统包含非全局区域,可通过审计全局区域来审计这些区域,或者可以单独为每个非全局区域配置、启用和禁用审计服务。例如,您可以仅审计非全局区域,而不审计全局区域。

有关如何权衡选择的介绍,请参见在具有 Oracle Solaris 区域的系统上审计

如何规划要审计的对象及内容

开始之前

如果要实现非全局区域,请在使用此过程之前查看如何规划区域中的审计

  1. 确定是否需要单系统映像审计迹。

    注 - 此步骤仅适用于 audit_binfile 插件。


    单一管理域中的系统可以创建单系统映像审计迹。如果您的系统使用不同的命名服务,请从步骤 2 开始。然后,针对每个系统完成其余的规划步骤。

    要为站点创建单系统映像审计迹,安装中的每个系统都应进行如下配置:

    • 针对所有系统,使用相同的命名服务。

      要正确解释审计记录,passwdgrouphosts 文件必须一致。

    • 在所有系统上以相同的方式配置审计服务。有关显示和修改服务设置的信息,请参见 auditconfig(1M) 手册页。

    • 对于所有系统,使用相同的 audit_warnaudit_eventaudit_class 文件。

  2. 确定审计策略。

    缺省情况下,仅启用 cnt 策略。

    使用 auditconfig -lspolicy 命令查看可用策略选项的说明。

  3. 确定是否要修改事件到类的映射。

    几乎所有情况下,缺省映射便已够用。但是,如果添加新类、更改类定义或确定特定系统调用的记录没有用处,可能需要修改事件到类的映射。

    有关示例,请参见如何更改审计事件的类成员身份

  4. 确定要预选的审计类。

    添加审计类或更改缺省类的最佳时间是在用户登录到系统之前。

    auditconfig 命令中使用 -setflags-setnaflags 选项预选的审计类适用于所有用户和进程。可以针对成功、失败或两者预选类。

    有关审计类的列表,请阅读 /etc/security/audit_class 文件。

  5. 确定系统范围预选的用户修改。

    如果您确定应当以不同的方式从系统对某些用户进行审计,则可以为个别用户或权限配置文件修改 audit_flags 安全属性。如果已显式为用户设置了审计标志,或者为用户分配了包含显式审计标志的权限配置文件,则会修改用户预选掩码。

    有关过程,请参见如何配置用户审计特征。有关有效的审计标志值,请参见搜索指定安全属性的顺序

  6. 决定如何管理 audit_warn 电子邮件别名。

    每当审计系统检测到需要管理干预的情况时,就会运行 audit_warn 脚本。缺省情况下,audit_warn 脚本会向 audit_warn 别名发送电子邮件,并向控制台发送消息。

    要设置别名,请参见如何配置 audit_warn 电子邮件别名

  7. 确定收集审计记录的格式和位置。

    您有三个选择。

  8. 确定向管理员发出有关收缩磁盘空间的警告的时间。

    注 - 此步骤仅适用于 audit_binfile 插件。


    当审计文件系统上的磁盘空间低于最低空闲空间百分比或软限制时,审计服务将会切换到下一个可用审计目录。然后,服务将发送一条警告,指出已超过软限制。

    要设置最低空闲空间百分比,请参见示例 28-17

  9. 决定当所有审计目录已满时需要执行的操作。

    注 - 此步骤仅适用于 audit_binfile 插件。


    在缺省配置中,audit_binfile 插件处于活动状态,并且设置了 cnt 策略。在此配置中,内核审计队列已满时,系统将继续工作。系统会对丢弃的审计记录进行计数,但是不会记录事件。要获得更大的安全性,可以禁用 cnt 策略,然后启用 ahlt 策略。当异步事件无法放入审计队列时,ahlt 策略会停止系统。

    有关这些策略选项的说明,请参见同步事件和异步事件的审计策略。要配置这些策略选项,请参见示例 28-6

    但是,如果 audit_binfile 队列已满,而另一活动插件的队列未满,则内核队列将继续向未满的插件发送记录。audit_binfile 队列可再次接收记录时,审计服务将恢复向其发送记录。


    注 - 如果至少一个插件的队列正在接收审计记录,则不会触发 cntahlt 策略。


如何规划审计记录的磁盘空间

audit_binfile 插件可创建审计迹。审计迹需要专用的文件空间。此空间必须可用且安全。对于初始存储,系统使用 /var/audit 文件系统。您可以为审计文件配置其他审计文件系统。以下过程介绍了规划审计迹存储时必须解决的问题。

开始之前

如果要实现非全局区域,请在使用此过程之前完成如何规划区域中的审计

您正在使用 audit_binfile 插件。

  1. 确定站点所需的审计量。

    针对审计迹平衡磁盘空间可用性和站点的安全需求。

    有关如何在保持站点安全的同时降低空间需求,以及如何设计审计存储的指南,请参见控制审计成本有效审计

    有关实际步骤,请参见如何减少生成的审计记录数目如何压缩专用文件系统上的审计文件示例 28-30

  2. 确定要审计的系统并配置它们的审计文件系统。

    创建计划使用的所有文件系统的列表。有关配置准则,请参见存储和管理审计迹auditreduce(1M) 手册页。要指定审计文件系统,请参见如何为审计迹指定审计空间

  3. 同步所有系统上的时钟。

    有关更多信息,请参见确保时间戳可靠

以流方式将审计记录传输到远程存储前如何执行准备工作


注 - 如果您有一个 Kerberos 领域,并且在该领域内配置了一个可识别的审计远程服务器 (Audit Remote Server, ARS) 和所有被审计系统,则可以跳过此过程。如何配置审计文件的远程系统信息库如何向远程系统信息库发送审计文件中涵盖了用来配置 ARS 和被审计系统的步骤。


audit_remote 插件将二进制的审计迹发送到 ARS,采用的格式与 audit_binfile 插件向本地审计文件进行写入时采用的格式相同。audit_remote 插件使用 libgss 库对 ARS 进行验证,并且使用一种 GSS-API 机制保护传输的私密性和完整性。有关参考信息,请参见什么是 Kerberos 服务?Kerberos 组件

当前唯一受支持的 GSS-API 机制是 kerberosv5。有关更多信息,请参见 mech(4) 手册页。

开始之前

您计划使用 audit_remote 插件。

  1. 为被审计系统创建一个 Kerberos 领域。
    1. 安装主 KDC 软件包。

      您可以使用将用作 ARS 的系统,或者使用邻近的系统。ARS 会向主 KDC 发送大量的验证通信流量。

      如果 Kerberos 软件包已安装在系统上,则输出类似于以下内容:

      # pkg search -l kerberos-5
      INDEX      ACTION       VALUE                  PACKAGE
      pkg.summary   set  Kerberos version 5 support  pkg:/service/security/kerberos-5@vn
      pkg.summary   set  Kerberos V5 Master KDC      pkg:/system/security/kerberos-5@vn

      第一个命令检查是否已安装了 Kerberos V5 Master KDC 软件包。第二个命令安装该软件包。

      # pkg info system/security/kerberos-5
      pkg: info: no packages matching these patterns are installed on the system.
      # pkg install pkg:/system/security/kerberos-5

      在主 KDC 上,可以使用 Kerberos kdcmgrkadmin 命令来管理领域。有关参考信息,请参见 kdcmgr(1M)kadmin(1M) 手册页。

  2. 在将向 ARS 发送审计记录的每一个被审计系统上,安装主 KDC 软件包。
    # pkg install pkg:/system/security/kerberos-5

    该软件包包含 kclient 命令。在这些系统上,运行 kclient 命令来与 KDC 进行连接。有关参考信息,请参见 kclient(1M) 手册页。

  3. 同步 KDC 领域中的时钟。

    如果被审计系统与 ARS 之间的时钟相位差太大,则尝试连接时会失败。在建立连接后,ARS 上的本地时间决定了所存储的审计文件的名称,如二进制审计文件名称约定中所述。

    有关时钟的更多信息,请参见确保时间戳可靠