Activation et utilisation de l'audit

Logical Domains Manager utilise la fonction d'audit du SE Oracle Solaris pour examiner l'historique des actions et événements qui se sont produits sur votre domaine de contrôle. L'historique est conservé dans un journal consignant ce qui a été fait, à quel moment et par qui, ainsi que les éléments affectés.

Vous pouvez activer et désactiver la fonction d'audit selon la version du SE Oracle Solaris exécutée sur votre système, comme suit :

SE Oracle Solaris 10. Utilisez les commandes bsmconv et bsmunconv. Reportez-vous aux pages de manuel bsmconv(1M) et bsmunconv(1M), ainsi qu'à la Partie VII, Auditing in Oracle Solaris du manuel System Administration Guide: Security Services.
SE Oracle Solaris 11. Utilisez la commande audit. Reportez-vous à la page de manuel audit(1M) et à la Partie VII, Auditing in Oracle Solaris du manuel Oracle Solaris 11.1 Administration: Security Services.

Procédure d'activation de l'audit

Vous devez configurer et activer la fonction d'audit d'Oracle Solaris sur votre système. La fonction d'audit du SE Oracle Solaris permet d'examiner l'historique des actions et des événements qui se sont produits sur votre domaine de contrôle. L'historique est conservé dans un journal consignant ce qui a été fait, à quel moment et par qui, ainsi que les éléments affectés. L'audit Oracle Solaris 11 est activé par défaut, mais vous devez effectuer certaines opérations de configuration.

Remarque - Les processus préexistants ne sont pas soumis à un audit concernant la classe des logiciels de virtualisation (vs). Assurez-vous d'effectuer cette étape avant que les utilisateurs standard ne se connectent au système.

Ajoutez des personnalisations aux fichiers /etc/security/audit_event et /etc/security/audit_class.
Ces personnalisations sont conservées lors des mises à niveau d'Oracle Solaris, mais elles doivent être ajoutées de nouveau après une réinstallation d'Oracle Solaris.
1. Ajoutez l'entrée suivante au fichier audit_event, si elle n'y figure pas :
```
40700:AUE_ldoms:ldoms administration:vs
```
2. Ajoutez l'entrée suivante au fichier audit_class, si elle n'y figure pas :
```
0x10000000:vs:virtualization_software
```
(Oracle Solaris 10) Ajoutez la classe vs au fichier /etc/security/audit_control.
L'extrait de /etc/security/audit_control suivant indique comment spécifier la classe vs :
```
dir:/var/audit
flags:lo,vs
minfree:20
naflags:lo,na
```
(Oracle Solaris 10) Activez la fonction d'audit.
1. Exécutez la commande bsmconv.
```
# /etc/security/bsmconv
```
2. Réinitialisez le système.
(Oracle Solaris 11) Présélectionnez la classe d'audit vs.
1. Déterminez les classes d'audit déjà sélectionnées.
  Assurez-vous que toutes les classes d'audit déjà sélectionnées font partie de l'ensemble de classes mis à jour. L'exemple suivant montre que la classe lo est déjà sélectionnée :
```
# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
```
2. Ajoutez la classe d'audit vs.
```
# auditconfig -setflags [class],vs
```
  class représente aucune, une ou plusieurs classes d'audit, séparées par des virgules. Vous pouvez voir la liste des classes d'audit dans le fichier /etc/security/audit_class. Il est important d'inclure la classe vs sur votre système Oracle VM Server for SPARC.
  Par exemple, la commande suivante sélectionne les deux classes lo et vs :
```
# auditconfig -setflags lo,vs
```
3. (Facultatif) Déconnectez-vous du système si vous souhaitez soumettre les processus à un audit en tant qu'administrateur ou en tant que responsable de la configuration.
  Si vous ne souhaitez pas vous déconnecter, reportez-vous à la section How to Update the Preselection Mask of Logged In Users du manuel Oracle Solaris 11.1 Administration: Security Services.
Vérifiez que le logiciel d'audit est en cours d'exécution.
```
# auditconfig -getcond
```
Si le logiciel d'audit est en cours d'exécution, audit condition = auditing s'affiche dans la sortie.

Procédure de désactivation de l'audit

Désactivez la fonction d'audit.

Désactivez la fonction d'audit sur votre système Oracle Solaris 10.

Exécutez la commande bsmunconv.

# /etc/security/bsmunconv
Are you sure you want to continue? [y/n] y
This script is used to disable the Basic Security Module (BSM).
Shall we continue the reversion to a non-BSM system now? [y/n] y
bsmunconv: INFO: removing c2audit:audit_load from /etc/system.
bsmunconv: INFO: stopping the cron daemon.

The Basic Security Module has been disabled.
Reboot this system now to come up without BSM.

Réinitialisez le système.

Désactivez la fonction d'audit sur votre système Oracle Solaris 11.
1. Exécutez la commande audit -t.
```
# audit -t
```
2. Vérifiez que le logiciel d'audit n'est plus en cours d'exécution.
```
# auditconfig -getcond
audit condition = noaudit
```

Procédure d'examen des enregistrements d'audit

Utilisez l'une des méthodes suivantes pour examiner la sortie d'audit vs :
- Utilisez les commandes auditreduce et praudit pour examiner la sortie d'audit.
```
# auditreduce -c vs | praudit
# auditreduce -c vs -a 20060502000000 | praudit
```
- Utilisez la commande praudit -x pour imprimer les enregistrements d'audit au format XML.

Procédure de rotation des journaux d'audit

Utilisez la commande audit -n pour faire tourner les journaux d'audit.
La rotation des journaux d'audit ferme le fichier d'audit actuel et en ouvre un nouveau dans le répertoire d'audit actuel.

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration d'Oracle VM Server for SPARC 3.0 Oracle VM Server for SPARC (Français)