Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Création de systèmes de fichiers ZFS pour les fichiers d'audit

La procédure suivante décrit la création d'un pool ZFS pour les fichiers d'audit, ainsi que les systèmes de fichiers et points de montage correspondants. Par défaut, le système de fichiers /var/audit contient les fichiers d'audit pour le plug-in audit_binfile.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant des profils de droits ZFS File System Management (gestion de système de fichiers ZFS) et ZFS Storage Management (gestion de stockage ZFS). Le dernier profil vous permet de créer des pools de stockage. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Déterminez la quantité d'espace disque requis.

    Attribuez au moins 200 Mo d'espace disque par hôte. Toutefois, le type d'audit dont vous avez besoin dicte l'espace disque requis. Par conséquent, il peut être beaucoup plus important que le chiffre indiqué.

    Remarque -  La présélection de classe par défaut crée des fichiers dans /var/audit qui augmentent d'environ 80 octets pour chaque instance enregistrée d'un événement dans la classe lo, notamment la prise de rôle, la connexion ou la déconnexion.
  2. Créez un pool de stockage ZFS mis en miroir.

    La commande zpool create crée un pool de stockage, c'est-à-dire un conteneur pour les systèmes de fichiers ZFS. Pour plus d'informations, reportez-vous au Chapitre 1, Système de fichiers Oracle Solaris ZFS (introduction) du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .

    # zpool create audit-pool mirror disk1 disk2

    Par exemple, créez le pool auditp à partir de deux disques, c3t1d0 et c3t2d0, et mettez-les en miroir.

    # zpool create auditp mirror c3t1d0 c3t2d0
  3. Créez un système de fichiers ZFS et un point de montage pour les fichiers d'audit.

    Vous créez le système de fichiers et le point de montage à l'aide d'une seule commande. Au moment de la création, le système de fichiers est monté. Par exemple, l'illustration suivante indique le stockage de la piste d'audit, trié par nom d'hôte.


    image:Le graphique représente un répertoire root d'audit dont les deux premiers noms de répertoire sont des noms d'hôte.
    Remarque -  Si vous envisagez de chiffrer le système de fichiers, vous devez le faire lors de sa création. Pour un exemple, reportez-vous à l'Example 4–1.

    Le chiffrement doit être géré. Par exemple, une phrase de passe est nécessaire au moment du montage. Pour plus d'informations, reportez-vous à la section Chiffrement des systèmes de fichiers ZFS du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .

    # zfs create -o mountpoint=/mountpoint audit-pool/mountpoint

    Par exemple, créez le point de montage /audit pour le système de fichiers auditf.

    # zfs create -o mountpoint=/audit auditp/auditf
  4. Créez un système de fichiers ZFS pour les fichiers d'audit. 
    # zfs create -p auditp/auditf/system

    Par exemple, créez un système de fichiers ZFS non chiffré pour le système sys1.

    # zfs create -p auditp/auditf/sys1
  5. (Facultatif) Créez des systèmes de fichiers supplémentaires pour les fichiers d'audit.

    Une des raisons de créer des systèmes de fichiers supplémentaires est d'empêcher un débordement d'audit. Vous pouvez définir un quota ZFS par système de fichiers, comme illustré à l'Step 8. L'alias électronique audit_warn vous avertit lorsque chaque quota est atteint. Pour libérer de l'espace, vous pouvez déplacer les fichiers d'audit fermés vers un serveur distant.

    # zfs create -p auditp/auditf/sys1.1

# zfs create -p auditp/auditf/sys1.2
  6. Protégez le système de fichiers d'audit parent.

    Les propriétés ZFS suivantes sont définies sur off pour tous les systèmes de fichiers du pool :

    # zfs set devices=off auditp/auditf

# zfs set exec=off auditp/auditf

# zfs set setuid=off auditp/auditf
  7. Compressez les fichiers d'audit dans le pool.

    En règle générale, la compression est définie dans ZFS au niveau du système de fichiers. Toutefois, dans la mesure où tous les systèmes de fichiers présents dans ce pool contiennent les fichiers d'audit, la compression est définie au niveau du jeu de données supérieur du pool.

    # zfs set compression=on auditp

    Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .

  8. Définissez des quotas.

    Vous pouvez définir des quotas sur le système de fichiers parent, les systèmes de fichiers descendants, ou les deux. Si vous définissez un quota sur le système de fichiers d'audit parent, les quotas sur les systèmes de fichiers descendants imposent une limite supplémentaire.

    1. Définissez un quota sur le système de fichiers d'audit parent.

      Dans l'exemple ci-dessous, lorsque les deux disques dans le pool auditp atteignent le quota, le script audit_warn notifie l'administrateur de l'audit.

      # zfs set quota=510G auditp/auditf
    2. Définissez un quota sur les systèmes de fichiers d'audit descendants.

      Dans l'exemple ci-dessous, lorsque le quota pour le système de fichiers auditp/auditf/system est atteint, le script audit_warn notifie l'administrateur de l'audit.

      # zfs set quota=170G auditp/auditf/sys1

# zfs set quota=170G auditp/auditf/sys1.1

# zfs set quota=165G auditp/auditf/sys1.2
  9. Pour un grand pool, limitez la taille des fichiers d'audit.

    Par défaut, un fichier d'audit peut atteindre la taille du pool. Pour faciliter la gestion, limitez la taille des fichiers d'audit. Voir l'Example 4–3.

Exemple 4-1  Création d'un système de fichiers chiffré pour les fichiers d'audit

Afin d'être en conformité avec les exigences de sécurité du site, l'administrateur effectue les opérations suivantes :

  1. Crée si nécessaire un nouveau pool ZFS pour stocker les journaux d'audit chiffrés.

  2. Génère une clé de chiffrement.

  3. Crée le système de fichiers d'audit avec le chiffrement activé pour stocker les journaux d'audit et définit le point de montage.

  4. Configure l'audit de façon à utiliser le répertoire chiffré.

  5. Actualise le service d'audit pour appliquer les nouveaux paramètres de configuration.


# zpool create auditp mirror disk1 disk2


# pktool genkey keystore=file outkey=/filename keytype=aes keylen=256

# zfs create -o encryption=aes-256-ccm \
-o keysource=raw,file:///filename \
-o compression=on -o mountpoint=/audit auditp/auditf

# auditconfig -setplugin audit_binfile p_dir=/audit/

# audit -s

Vous devez sauvegarder et protéger le fichier contenant la clé, comme par exemple le filename dans l'exemple.

Lorsque l'administrateur crée d'autres systèmes de fichiers sous le système de fichiers auditf, ces systèmes de fichiers descendants sont également chiffrés.

Exemple 4-2  Définition d'un quota sur le répertoire /var/audit

Dans cet exemple, l'administrateur définit un quota sur le système de fichiers d'audit par défaut. Lorsque ce quota est atteint, le script audit_warn avertit l'administrateur de l'audit.

# zfs set quota=252G rpool/var/audit
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant