La procédure suivante décrit la création d'un pool ZFS pour les fichiers d'audit, ainsi que les systèmes de fichiers et points de montage correspondants. Par défaut, le système de fichiers /var/audit contient les fichiers d'audit pour le plug-in audit_binfile.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant des profils de droits ZFS File System Management (gestion de système de fichiers ZFS) et ZFS Storage Management (gestion de stockage ZFS). Le dernier profil vous permet de créer des pools de stockage. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Attribuez au moins 200 Mo d'espace disque par hôte. Toutefois, le type d'audit dont vous avez besoin dicte l'espace disque requis. Par conséquent, il peut être beaucoup plus important que le chiffre indiqué.
La commande zpool create crée un pool de stockage, c'est-à-dire un conteneur pour les systèmes de fichiers ZFS. Pour plus d'informations, reportez-vous au Chapitre 1, Système de fichiers Oracle Solaris ZFS (introduction) du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .
# zpool create audit-pool mirror disk1 disk2
Par exemple, créez le pool auditp à partir de deux disques, c3t1d0 et c3t2d0, et mettez-les en miroir.
# zpool create auditp mirror c3t1d0 c3t2d0
Vous créez le système de fichiers et le point de montage à l'aide d'une seule commande. Au moment de la création, le système de fichiers est monté. Par exemple, l'illustration suivante indique le stockage de la piste d'audit, trié par nom d'hôte.
Le chiffrement doit être géré. Par exemple, une phrase de passe est nécessaire au moment du montage. Pour plus d'informations, reportez-vous à la section Chiffrement des systèmes de fichiers ZFS du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
Par exemple, créez le point de montage /audit pour le système de fichiers auditf.
# zfs create -o mountpoint=/audit auditp/auditf
# zfs create -p auditp/auditf/system
Par exemple, créez un système de fichiers ZFS non chiffré pour le système sys1.
# zfs create -p auditp/auditf/sys1
Une des raisons de créer des systèmes de fichiers supplémentaires est d'empêcher un débordement d'audit. Vous pouvez définir un quota ZFS par système de fichiers, comme illustré à l'Step 8. L'alias électronique audit_warn vous avertit lorsque chaque quota est atteint. Pour libérer de l'espace, vous pouvez déplacer les fichiers d'audit fermés vers un serveur distant.
# zfs create -p auditp/auditf/sys1.1 # zfs create -p auditp/auditf/sys1.2
Les propriétés ZFS suivantes sont définies sur off pour tous les systèmes de fichiers du pool :
# zfs set devices=off auditp/auditf # zfs set exec=off auditp/auditf # zfs set setuid=off auditp/auditf
En règle générale, la compression est définie dans ZFS au niveau du système de fichiers. Toutefois, dans la mesure où tous les systèmes de fichiers présents dans ce pool contiennent les fichiers d'audit, la compression est définie au niveau du jeu de données supérieur du pool.
# zfs set compression=on auditp
Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .
Vous pouvez définir des quotas sur le système de fichiers parent, les systèmes de fichiers descendants, ou les deux. Si vous définissez un quota sur le système de fichiers d'audit parent, les quotas sur les systèmes de fichiers descendants imposent une limite supplémentaire.
Dans l'exemple ci-dessous, lorsque les deux disques dans le pool auditp atteignent le quota, le script audit_warn notifie l'administrateur de l'audit.
# zfs set quota=510G auditp/auditf
Dans l'exemple ci-dessous, lorsque le quota pour le système de fichiers auditp/auditf/system est atteint, le script audit_warn notifie l'administrateur de l'audit.
# zfs set quota=170G auditp/auditf/sys1 # zfs set quota=170G auditp/auditf/sys1.1 # zfs set quota=165G auditp/auditf/sys1.2
Par défaut, un fichier d'audit peut atteindre la taille du pool. Pour faciliter la gestion, limitez la taille des fichiers d'audit. Voir l'Example 4–3.
Afin d'être en conformité avec les exigences de sécurité du site, l'administrateur effectue les opérations suivantes :
Crée si nécessaire un nouveau pool ZFS pour stocker les journaux d'audit chiffrés.
Génère une clé de chiffrement.
Crée le système de fichiers d'audit avec le chiffrement activé pour stocker les journaux d'audit et définit le point de montage.
Configure l'audit de façon à utiliser le répertoire chiffré.
Actualise le service d'audit pour appliquer les nouveaux paramètres de configuration.
# zpool create auditp mirror disk1 disk2 # pktool genkey keystore=file outkey=/filename keytype=aes keylen=256 # zfs create -o encryption=aes-256-ccm \ -o keysource=raw,file:///filename \ -o compression=on -o mountpoint=/audit auditp/auditf # auditconfig -setplugin audit_binfile p_dir=/audit/ # audit -s
Vous devez sauvegarder et protéger le fichier contenant la clé, comme par exemple le filename dans l'exemple.
Lorsque l'administrateur crée d'autres systèmes de fichiers sous le système de fichiers auditf, ces systèmes de fichiers descendants sont également chiffrés.
Exemple 4-2 Définition d'un quota sur le répertoire /var/auditDans cet exemple, l'administrateur définit un quota sur le système de fichiers d'audit par défaut. Lorsque ce quota est atteint, le script audit_warn avertit l'administrateur de l'audit.
# zfs set quota=252G rpool/var/audit