在区域中配置审计服务（任务）

审计服务审计整个系统，包括区域中的审计事件。安装了非全局区域的系统可以以相同方式审计所有区域，也可基于每个区域配置审计。有关更多信息，请参见如何规划区域中的审计。

当对非全局区域完全像对全局区域一样进行审计时，非全局区域的管理员可能无法访问审计记录。而且，全局区域管理员可以修改非全局区域中用户的审计预选掩码。

当分别审计各个非全局区域时，审计记录的可见范围是相应的非全局区域以及从该非全局区域根产生的全局区域。

如何配置以相同方式审计所有区域

此过程可以实现以相同方式审计所有区域。该方法需要的计算机开销和管理资源最少。

开始之前

您必须承担 root 角色。有关更多信息，请参见如何使用指定给您的管理权限。

1. 配置全局区域的审计。

   完成配置审计服务（任务列表）中的任务，但注意以下例外：

   • 不要启用 perzone 审计策略。

   • 设置 zonename 策略。此策略将区域名称添加到每个审计记录。

     # auditconfig -setpolicy +zonename

2. 如果修改了审计配置文件，请将这些文件从全局区域复制到每个非全局区域。

   如果修改了 audit_class 或 audit_event 文件，请采用以下两种方式之一复制它：

   • 可以回送挂载文件。

   • 可以复制文件。

   非全局区域必须在运行中。

   • 将更改的 audit_class 和 audit_event 文件作为回送文件系统 (lofs) 进行挂载。
     1. 从全局区域中，中止非全局区域。

        # zoneadm -z non-global-zone halt

     2. 为在全局区域中修改的每个审计配置文件创建一个只读回送挂载。

        # zonecfg -z non-global-zone
         add fs
            set special=/etc/security/audit-file
            set dir=/etc/security/audit-file
            set type=lofs
            add options [ro,nodevices,nosetuid]
            commit
            end
         exit

     3. 要使更改生效，请引导该非全局区域。

        # zoneadm -z non-global-zone boot

        之后，如果在全局区域中修改了审计配置文件，请重新引导每个区域以刷新非全局区域中回送挂载的文件。

   • 复制文件。
     1. 从全局区域中，列出每个非全局区域中的 /etc/security 目录。

        # ls /zone/zonename/root/etc/security/

     2. 将更改的 audit_class 和 audit_event 文件复制到每个区域的 /etc/security 目录。

        # cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file

        之后，如果在全局区域中更改其中一个文件，则必须将更改的文件复制到非全局区域。

   当在全局区域中重新启动审计服务时，或者重新引导非全局区域时，将对非全局区域进行审计。

示例 28-23 在区域中挂载作为回送挂载的审计配置文件

在本示例中，系统管理员修改了 audit_class、audit_event 和 audit_warn 文件。

audit_warn 文件仅在全局区域中读取，因此不必将其挂载到非全局区域。

在系统 machine1 中，管理员创建了两个非全局区域：machine1–webserver 和 machine1–appserver。管理员已经完成了对审计配置文件的修改。如果管理员以后修改文件，必须重新引导区域以重新读取回送挂载。

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
 add fs
    set special=/etc/security/audit_event
    set dir=/etc/security/audit_event
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
  exit
# zonecfg -z machine1-appserver 
 add fs
    set special=/etc/security/audit_class
    set dir=/etc/security/audit_class
    set type=lofs
    add options [ro,nodevices,nosetuid]
    commit
    end
...
 exit

重新引导非全局区域时，audit_class 和 audit_event 文件在区域中为只读。

如何配置每区域审计

此过程使每个区域的管理员可以在他们的各自区域中控制审计服务。有关策略选项的完整列表，请参见 auditconfig(1M) 手册页。

开始之前

要配置审计，您必须是指定有 Audit Configuration（审计配置）权限配置文件的管理员。要启用审计服务，您必须是指定有 Audit Control（审计控制）权限配置文件的管理员。有关更多信息，请参见如何使用指定给您的管理权限。

1. 在全局区域中，配置审计。
   1. 完成配置审计服务（任务列表）中的任务。
   2. 添加 perzone 审计策略。有关命令，请参见示例 28-8。

      ---

      注 - 您无需在全局区域中启用审计服务。

      ---

2. 在计划审计的每个非全局区域中，配置审计文件。
   1. 完成配置审计服务（任务列表）中的任务。
   2. 不要配置系统范围的审计设置。

      具体来说，不要将 perzone 或 ahlt 策略添加到非全局区域中。

3. 在您的区域中启用审计。

   myzone# audit -s

示例 28-24 在非全局区域中禁用审计

此示例适用于已设置了 perzone 审计策略的情况。noaudit 区域的管理员禁用该区域的审计。

noauditzone # auditconfig -getcond
audit condition = auditing
noauditzone # audit -t
noauditzone # auditconfig -getcond
audit condition = noaudit