Modification de la stratégie d'audit

Il peut être utile de modifier la stratégie d'audit par défaut pour enregistrer des informations détaillées sur les commandes auditées, ajouter un nom de zone à chaque enregistrement ou satisfaire aux exigences d'autres sites en matière de sécurité.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

1. Affichez la stratégie d'audit actuelle.

   $ auditconfig -getpolicy
   ...

   Pour obtenir une explication de la sortie, reportez-vous à la section Affichage de paramètres par défaut du service d'audit.

2. Affichez les options de stratégie disponibles.

   $ auditconfig -lspolicy
   policy string    description:
   ahlt             halt machine if it can not record an async event
   all              all policies for the zone
   arge             include exec environment args in audit recs
   argv             include exec command line args in audit recs
   cnt              when no more space, drop recs and keep a cnt
   group            include supplementary groups in audit recs
   none             no policies
   path             allow multiple paths per event
   perzone          use a separate queue and auditd per zone
   public           audit public files
   seq              include a sequence number in audit recs
   trail            include trailer token in audit recs
   windata_down     include downgraded window information in audit recs
   windata_up       include upgraded window information in audit recs
   zonename         include zonename token in audit recs

   ---

   Remarque -  Les options de stratégie et ahlt peuvent être définies uniquement dans la zone globale. Pour que les compromis utilisent une option de stratégie particulière, reportez-vous à la section Principes de la stratégie d'audit.

   ---

3. Activez ou désactivez les options de stratégie d'audit sélectionnées.

   # auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]

   –t

   Optionnel. Crée une stratégie temporaire ou active. Vous pouvez définir une stratégie temporaire à des fins de débogage ou de test.

   Une politique temporaire reste en vigueur jusqu'à ce que le service d'audit soit actualisé ou que la stratégie soit modifiée par la commande auditconfig -setpolicy.

   prefix

   La valeur prefix + ajoute la liste des stratégies à la stratégie actuelle. La valeur prefix - supprime la liste des stratégies de la stratégie actuelle. Sans préfixe, la stratégie d'audit est réinitialisée. Cette option vous permet de conserver les stratégies d'audit en cours.

   policy

   Sélectionne la stratégie à activer ou désactiver.

Exemple 3-10  Définition de l'option de stratégie d'audit ahlt

Dans cet exemple, la sécurité stricte du site requiert la stratégie ahlt.

# auditconfig -setpolicy -cnt
# auditconfig -setpolicy +ahlt

Le signe plus (+) avant la stratégie ahlt ajoute la stratégie aux paramètres de stratégie en cours. Sans le signe plus, la stratégie ahlt remplace toutes les stratégies d'audit actuelles.

Exemple 3-11  Définition d'une stratégie d'audit temporaire

Dans cet exemple, la stratégie d'audit ahlt est configurée. A des fins de débogage, l'administrateur ajoute la stratégie d'audit trail à la stratégie active (+trail) temporairement (–t). La stratégie trail contribue à la restauration des pistes d'audit endommagées.

$ auditconfig -setpolicy ahlt
$ auditconfig -getpolicy
configured audit policies = ahlt
active audit policies = ahlt
$ auditconfig -t -setpolicy +trail
configured audit policies = ahlt
active audit policies = ahlt,trail

L'administrateur désactive la stratégie trail lorsque le débogage est terminé.

$ auditconfig -setpolicy -trail
$ auditconfig -getpolicy
configured audit policies = ahlt
active audit policies = ahlt

L'actualisation du service d'audit à l'aide de la commande audit -s supprime également cette stratégie temporaire, ainsi que d'autres valeurs temporaires dans le service d'audit. Pour obtenir des exemples d'autres valeurs temporaires, reportez-vous à la section Modification des contrôles de file d'attente d'audit.

Exemple 3-12  Définition de la stratégie d'audit perzone

Dans cet exemple, la stratégie d'audit perzone est ajoutée à la stratégie existante dans la zone globale. Le paramètre de stratégie perzone est stocké en tant que propriété permanente, de sorte que la stratégie perzone est en vigueur au cours de la session et au redémarrage du service d'audit. Pour les zones, la stratégie est disponible à la prochaine initialisation de zone.

$ auditconfig -getpolicy
configured audit policies = cnt
active audit policies = cnt
$ auditconfig -setpolicy +perzone
$ auditconfig -getpolicy
configured audit policies = perzone,cnt
active audit policies = perzone,cnt

Exemple 3-13  Pour la collecte des auditeurs externes des enregistrements d'audit

Dans cet exemple, l'administrateur collecte des enregistrements d'audit pour satisfaire les exigences des auditeurs externes. L'administrateur décide d'utiliser un serveur ARS pour collecter des informations sur les activités d'administration. L'administrateur collecte également des actions qui ne peuvent pas être attribuées à un utilisateur, telles que l'initialisation.

L'administrateur configure le serveur ARS. En plus d'auditer la classe cusa, l'administrateur ajoute des règles à la configuration de l'audit.

# auditconfig -setflags cusa
user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080)
# auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy
configured audit policies = ahlt,arge,argv
active audit policies = ahlt,arge,argv
# auditconfig -setnaflags lo,na
non-attributable audit flags = lo,na(0x1400,0x1400)

Lorsque l'administrateur active le plug-inaudit_remote et actualise le service d'audit, les enregistrements sont collectés.