Avant d'activer l'audit sur votre réseau, vous pouvez modifier les valeurs par défaut afin de répondre aux exigences en matière d'audit de votre site. Il est recommandé de personnaliser la configuration de l'audit autant que possible avant la connexion des premiers utilisateurs.
Si vous avez mis en oeuvre des zones, vous pouvez choisir d'auditer toutes les zones à partir de la zone globale ou les zones non globales une à une. Pour obtenir une présentation générale, reportez-vous à la section Audit et Oracle Solaris Zones. Pour la planification, reportez-vous à la section Planification de l'audit dans les zones. Pour connaître les procédures, reportez-vous à la section Configuration du service d'audit dans les zones.
Pour configurer le service d'audit, vous devez généralement utiliser la sous-commande auditconfig. La configuration définie avec ces sous-commandes s'applique à l'ensemble du système.
auditconfig -get* affiche la configuration en cours du paramètre qui est représentée par l'astérisque (*), comme illustré dans les exemples de la section Affichage de paramètres par défaut du service d'audit.
auditconfig -set* affecte une valeur au paramètre qui sera représentée par l'astérisque (*), notamment –setflags, –setpolicy ou –setqctrl. Pour configurer des classes pour les événements non attribuables, vous utilisez la sous-commande auditconfig setnaflags.
Vous pouvez également personnaliser l'audit à appliquer à des utilisateurs ou profils, plutôt qu'à l'ensemble du système. Les présélections de classe d'audit pour chaque utilisateur sont spécifiées par l'attribut de sécurité audit_flags. Ces valeurs spécifiques à l'utilisateur, conjointement aux classes présélectionnées pour le système, déterminent le masque d'audit de l'utilisateur, comme décrit dans la section Caractéristiques de l'audit de processus.
La présélection de classes par utilisateur plutôt que par système permet parfois de réduire l'impact de l'audit sur les performances du système. En outre, il peut être utile d'auditer des utilisateurs spécifiques de manière légèrement différente du système.
Pour configurer l'audit à appliquer à des utilisateurs ou profils, vous utilisez les commandes suivantes :
usrattr affiche la valeur audit_flags qui est définie pour les utilisateurs. Par défaut, les utilisateurs sont soumis à un audit pour les paramètres à l'échelle du système uniquement.
usermod -K définit les indicateurs qui s'appliquent à des utilisateurs.
profile définit les indicateurs qui s'appliquent à des profils.
Pour obtenir une description de la commande userattr, reportez-vous à la page de manuel userattr(1). Pour obtenir une description du mot-clé audit_flags, reportez-vous à la page de manuel user_attr(4).
La liste des tâches suivante présente les procédures de configuration de l'audit. Toutes les tâches sont facultatives.
|