L'audit permet de conserver une trace de la façon dont le système est utilisé. Le service d'audit inclut des outils pour vous aider à analyser des données d'audit.
Le service d'audit est décrit dans la section Gestion de l’audit dans Oracle Solaris 11.2 . Pour obtenir la liste des pages de manuel et liens correspondants, reportez-vous à la section Pages de manuel du service d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Les procédures de service d'audit suivantes sont utiles dans la plupart des environnements sécurisés :
Créez des rôles distincts chargés de configurer les audits, de vérifier les audits ainsi que de démarrer et d'arrêter le service d'audit. Assignez ces rôles à des utilisateurs de confiance.
Utilisez les profils de droits Audit Configuration (Configuration d'audit), Audit Review (Vérification d'audit) et Audit Control (Contrôle d'audit) comme bases pour ces rôles.
Pour créer des rôles ou utiliser les rôles ARMOR prédéfinis, reportez-vous à la section Attribution de droits aux utilisateurs du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Auditez tous les administrateurs à l'aide de la classe d'audit cusa.
Les évènements relatifs à la classe d'audit cusa comprennent les actions d'administration affectant la sécurisation du système. Pour obtenir une description, reportez-vous au fichier /etc/security/audit_class. Pour plus d'informations sur cette procédure, reportez -vous à la sectionRéalisation d'un audit des événements importants en plus de la connexion/déconnexion.
Envoyez des enregistrements d'audit à un serveur central.
Configurez l'audit de manière à ce qu'il fonctionne avec le serveur d'audit à distance (ARS).
Voir la section Envoi des fichiers d’audit à un référentiel distant du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Programmez le transfert sécurisé des fichiers d'audit complets vers un système de fichiers de vérification d'audit sur un pool ZFS distinct.
Contrôlez les récapitulatifs textuels des événements audités dans l'utilitaire syslog.
Activez le plug-in audit_syslog, puis contrôlez les événements pris en compte.
Voir la section Configuration des journaux d’audit syslog du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Limitez la taille des fichiers d'audit.
Spécifiez une taille pertinente pour l'attribut p_fsize du plug-in audit_binfile. Prenez en compte votre planning de vérifications, l'espace disque et la fréquence des travaux cron, entre autres facteurs.
Pour consulter des exemples, reportez-vous à la section Affectation de l’espace d’audit pour la piste d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Programmez le transfert sécurisé des fichiers d'audit complets vers un système de fichiers de vérification d'audit sur un pool ZFS distinct.
Vérifiez les fichiers d'audit complets sur le système de fichiers de vérification d'audit.