Il peut être utile de modifier la stratégie d'audit par défaut pour enregistrer des informations détaillées sur les commandes auditées, ajouter un nom de zone à chaque enregistrement ou satisfaire aux exigences d'autres sites en matière de sécurité.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
$ auditconfig -getpolicy ...
Pour obtenir une explication de la sortie, reportez-vous à la section Affichage de paramètres par défaut du service d'audit.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
Optionnel. Crée une stratégie temporaire ou active. Vous pouvez définir une stratégie temporaire à des fins de débogage ou de test.
Une politique temporaire reste en vigueur jusqu'à ce que le service d'audit soit actualisé ou que la stratégie soit modifiée par la commande auditconfig -setpolicy.
La valeur prefix + ajoute la liste des stratégies à la stratégie actuelle. La valeur prefix - supprime la liste des stratégies de la stratégie actuelle. Sans préfixe, la stratégie d'audit est réinitialisée. Cette option vous permet de conserver les stratégies d'audit en cours.
Sélectionne la stratégie à activer ou désactiver.
Dans cet exemple, la sécurité stricte du site requiert la stratégie ahlt.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
Le signe plus (+) avant la stratégie ahlt ajoute la stratégie aux paramètres de stratégie en cours. Sans le signe plus, la stratégie ahlt remplace toutes les stratégies d'audit actuelles.
Exemple 3-11 Définition d'une stratégie d'audit temporaireDans cet exemple, la stratégie d'audit ahlt est configurée. A des fins de débogage, l'administrateur ajoute la stratégie d'audit trail à la stratégie active (+trail) temporairement (–t). La stratégie trail contribue à la restauration des pistes d'audit endommagées.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
L'administrateur désactive la stratégie trail lorsque le débogage est terminé.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
L'actualisation du service d'audit à l'aide de la commande audit -s supprime également cette stratégie temporaire, ainsi que d'autres valeurs temporaires dans le service d'audit. Pour obtenir des exemples d'autres valeurs temporaires, reportez-vous à la section Modification des contrôles de file d'attente d'audit.
Exemple 3-12 Définition de la stratégie d'audit perzoneDans cet exemple, la stratégie d'audit perzone est ajoutée à la stratégie existante dans la zone globale. Le paramètre de stratégie perzone est stocké en tant que propriété permanente, de sorte que la stratégie perzone est en vigueur au cours de la session et au redémarrage du service d'audit. Pour les zones, la stratégie est disponible à la prochaine initialisation de zone.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cntExemple 3-13 Pour la collecte des auditeurs externes des enregistrements d'audit
Dans cet exemple, l'administrateur collecte des enregistrements d'audit pour satisfaire les exigences des auditeurs externes. L'administrateur décide d'utiliser un serveur ARS pour collecter des informations sur les activités d'administration. L'administrateur collecte également des actions qui ne peuvent pas être attribuées à un utilisateur, telles que l'initialisation.
L'administrateur configure le serveur ARS. En plus d'auditer la classe cusa, l'administrateur ajoute des règles à la configuration de l'audit.
# auditconfig -setflags cusa user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080) # auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy configured audit policies = ahlt,arge,argv active audit policies = ahlt,arge,argv # auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
Lorsque l'administrateur active le plug-inaudit_remote et actualise le service d'audit, les enregistrements sont collectés.