このセクションでは、ACSLS で提供される個別のセキュリティーメカニズムについて説明します。
ACSLS のセキュリティー要件は、第一に偶発的な損失および破損から、第二にそのデータにアクセスまたはデータを変更しようとする故意の不正な試みからデータを保護する必要性から生じます。第二の懸案事項には、データのアクセス時または使用時における過度の遅延からの保護、またはサービス拒否のポイントへの干渉からの保護も含まれます。
このような保護を提供するクリティカルなセキュリティー機能は次のとおりです。
認証 - 権限のある個人のみがシステムおよびデータにアクセスできるようにします。
承認 - システム権限およびデータに対するアクセス制御を提供します。これは、個人が適切なアクセス権のみを取得するようにする認証に基づいて構築されます。
監査 - 管理者が認証メカニズムの侵害の試みや、アクセス制御の侵害または侵害の試みを検出できます。
ACSLS ユーザーは Solaris または Linux OS によって認証されますが、ACSLS GUI ユーザーは WebLogic によって認証されます。
ACSLS ユーザー (acsss と acssa) は cmd_proc を使用する前に、Solaris または Linux にログインし、オペレーティングシステムによって認証される必要があります。また、acsss ユーザーの場合は、ACSLS ユーティリティーおよび構成コマンドを実行します。データベース関連の操作では、acsdb ユーザー ID も使用されます。ACSLS のインストールプロセスの一部として、お客様がはじめてログインするときに、これらの ID のパスワードを設定する必要があります。詳細については、ACSLS インストールガイドを参照してください。
ACSLS には、ACSLS アクティビティーを記録および検査できる情報のログがいくつか用意されています。
ほとんどのログは、vi などのエディタを使用すると表示できます。システムイベントは、ACSLS GUI を使用してのみ表示できます。
これらのログの大部分は、お客様が定義したサイズに達すると自動的にアーカイブされ、お客様が指定した数のログが保管されます。ACSLS ファイルシステムがいっぱいにならないように、保管されるログ数の制限を構成できます。これらのログファイルをより多く保管する場合や、別のシステムで保管する場合は、十分な容量を持つ場所にログをアーカイブするための独自の手順を開発する必要があります。
保管するアーカイブログのサイズと数、およびこれらのファイルのその他の特性は、ACSLS の動的変数および静的変数で定義されます。
ACSLS ログのディレクトリは、LOG_PATH 静的変数によって制御されます。デフォルトのディレクトリは $ACS_HOME/log です。このディレクトリには、次のログが含まれています。
ここには、重大な ACSLS システムイベント、ライブラリイベント、およびエラーに関するメッセージが記録されます。
acsss_event.log が LOG_SIZE 動的変数で定義されたしきい値サイズに達すると、event0.log にコピーされ、クリアされます。コピープロセス中に、保管イベントログはそれぞれ、より大きい番号を持つ保管ログにコピーされ、もっとも大きい番号の保管ログは上書きされます。たとえば、event8.log は event9.log に上書きコピーされ、event7.log は event8.log に上書きコピーされ、同様に続き、event0.log は event1.log に上書きコピーされ、acsss_event.log は event0.log に上書きコピーされ、acsss_event.log はクリアされます。これは、次の変数によって制御されます。
EVENT_FILE_NUMBER は、保管するイベントログの数を指定します。
LOG_SIZE は、イベントログが保管イベントログにコピーされ、破棄される際のしきい値サイズを指定します。
特定のキーワードを含むメッセージが含まれるように、または除外されるように acsss_event ログをフィルタリングするには、greplog
ユーティリティーを使用します。詳細については、ACSLS 管理者ガイドでユーティリティーの章の greplog を参照してください。
ACSLS データベースに格納されているライブラリ構成が ACSLS により更新される際に詳細を記録するログが 2 つあります。ここには、acsss_config
と Dynamic Config
(config
ユーティリティー) の両方による構成の変更が記録されます。
ACSLS でサポートされているライブラリ (複数可) のすべての構成または再構成の詳細が記録されます。最後の構成変更は、前の構成レコードに追加されます。
構成または再構成プロセス中にイベントが記録されます。
ACSAPI クライアントまたは cmd_proc から ACSLS へのすべての要求、および論理ライブラリへの GUI または SCSI クライアントインタフェースへのすべての要求 (データベースクエリーを除く) に対する応答が記録されます。ログに記録される情報には、要求元、要求、および要求のタイムスタンプが含まれます。
rpTrail.log は次の変数によって管理されます。
LM_RP_TRAIL は、ACSLS イベントのこの監査証跡を有効にします。デフォルト値は TRUE です。
RP_TRAIL_LOG_SIZE は、rpTrail.log が圧縮およびアーカイブされる際のしきい値サイズを指定します。
RP_TRAIL_FILE_NUM は、保管されるアーカイブ済み rpTrail ログの数を指定します。
rpTrail RP_TRAIL_DIAG は、rpTrail メッセージに追加の診断情報を含めるかどうかを指定します。デフォルト値は FALSE です。
テープライブラリ内のボリューム (カートリッジ) に影響を与えるすべてのイベント (ボリュームのマウント、マウント解除、移動、挿入、取り出し、監査またはカートリッジ回復による検出など) が記録されます。ライブラリボリュームの統計情報が有効になっている場合、この情報は acsss_stats.log に記録されます。
ライブラリボリュームの統計情報は、次の変数によって管理されます。
LIB_VOL_STATS は、このライブラリボリュームの統計情報を有効にします。デフォルト値は OFF です。
VOL_STATS_FILE_NUM は、保管するアーカイブ済み acsss_stats.log ファイルの数を指定します。
VOL_STATS_FILE_SIZE は、acsss_stats.log がアーカイブされる際のしきい値サイズを指定します。
ACSLS ログディレクトリ内の sslm ディレクトリには、論理ライブラリへの ACSLS GUI および SCSI クライアントインタフェースに関する情報が記録されます。このディレクトリには、WebLogic 監査ログへのリンクが含まれています。sslm ディレクトリには次のログが含まれています。
ここには、ACSLS GUI と SCSI クライアントインタフェースの両方からのイベントが記録されます。論理ライブラリ構成の変更のメッセージ、および SCSI クライアントイベントが含まれます。
.g# は、このログの世代番号です。
.pp# は、このログの並列プロセス番号です。同時にログを記録するプロセスが複数存在する場合は、追加プロセスからのログに並列プロセス番号が割り当てられます。
ここでは、SCSI Media Changer Interface エミュレーションを使用して、SCSI クライアントから ACSLS 論理ライブラリへのアクティビティーが追跡されます。
これは、WebLogic の access.log へのリンクです。「WebLogic 監査ログの構成と使用」を参照してください。
これは、WebLogic の AcslsDomain.log へのリンクです。「WebLogic 監査ログの構成と使用」を参照してください。
これは、WebLogic の AdminServer.log へのリンクです。「WebLogic 監査ログの構成と使用」を参照してください。
ログビューアには、GUI ナビゲーションツリーの「Configuration and Administration」セクションからアクセスします。ログビューアには、acsss_event.log と smce_trace.log からの情報を組み合わせたものが表示されます。
Solaris の監査ポリシーを決定します。監査対象のイベント、監査ログが保存される場所、およびそれを見直す方法について計画する際は、『Oracle Solaris の管理: セキュリティーサービス』マニュアルの「Oracle Solaris での監査」セクションが役立つことがあります。
カスタムの Solaris 監査証跡が有効になっていない場合は、acsss、acsdb、および acssa ユーザーによって発行されたログインおよび UNIX コマンドの監査証跡を使用できます。
現在 UNIX にサインオンしているユーザーは UNIX の utmpx に記録され、過去のユーザーアクセスは wtmpx データベースに記録されます。
ユーザー ID へのすべてのアクセスを表示するには、last
コマンド (たとえば、last acsss
) を使用します。詳細については、wtmpx、last
、および getutxent のマニュアルページを参照してください。
ユーザーのホームディレクトリ内にある .*_history (つまり、[dot]*_history) ファイルには、そのユーザーが発行したコマンドが記録されます。
acsss ユーザーの場合は、次が含まれている可能性があります。
.bash_history
.psql_history
.sh_history
Solaris の /var/adm/sulog には、su
を実行してスーパーユーザーや別のユーザーになろうとする試みが成功、失敗にかかわらず記録されます。
監査ログおよびシステムログの収集と分析に関する詳細については、『Oracle Linux: セキュリティ・ガイド for リリース 6』の「監査の構成および使用」および「システム・ロギングの構成および使用」セクションを参照してください。
WebLogic サーバーをセキュリティー保護するためのオプション、および WebLogic を使用した監査証跡の可能性については、『Oracle Fusion Middleware Oracle WebLogic Server のセキュリティ 11g リリース 1 (10.3.5)』を参照してください。
WebLogic では、次のディレクトリに ACSLS GUI へのアクセスが記録されます。
/export/home/SSLM/AcslsDomain/servers/AdminServer/logs
このディレクトリには次のファイルが含まれています。
access.log
access.log##### という名前のアーカイブ済みバージョン (たとえば、access.log00001) があります。
ここでは、GUI ユーザーアクティビティーの詳細な監査証跡が提供されます。
ログインについては、「AcslsLoginForm」を探してください。
注: $ACS_HOME/logs/sslm/guiAccess.log には、アクセスログへのリンクがあります。 |
AcslsDomain.log
ここには、WebLogic および ACSLS GUI の操作が報告されます。
注: $ACS_HOME/logs/sslm/AcslsDomain.log には、アクセスログへのリンクがあります。 |
AdminServer.log
ここには、WebLogic および ACSLS GUI の操作が報告されます。
注: $ACS_HOME/logs/sslm/AdminServer.log には、アクセスログへのリンクがあります。 |