Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Le volume des enregistrements d'audit est important

Une fois que vous avez déterminé les événements à auditer sur votre site, utilisez les suggestions suivantes pour créer des fichiers d'audit contenant uniquement les informations dont vous avez besoin. Remarque : pour affecter des indicateurs aux utilisateurs, rôles et profils de droits, vous devez prendre le rôle root.

  • Evitez en particulier d'ajouter des événements et des jetons d'audit à la piste d'audit. Les stratégies suivantes augmentent la taille de la piste d'audit.

    arge

    Ajoute des variables d'environnement aux événements d'audit execv. Même si l'audit des événements execv peut coûter cher, l'ajout de variables à l'enregistrement d'audit ne l'est pas.

    argv

    Ajoute des paramètres de commande aux événements d'audit execv. L'ajout des paramètres de commande à l'enregistrement d'audit ne coûte pas cher.

    group

    Ajoute un jeton de groupe aux événements d'audit qui comprennent un jeton newgroups facultatif.

    path

    Ajoute un jeton path aux événements d'audit qui comprennent un jeton path facultatif.

    public

    Si des événements de fichier sont audités, ajoute un événement à la piste d'audit à chaque fois qu'un événement auditable se produit sur un objet public. Les classes de fichier comprennent fa, fc, fd, fm, fr, fw et cl. Pour la définition d'un fichier public, reportez-vous à la section Terminologie et concepts de l'audit.

    seq

    Ajoute un jeton sequence à chaque événement d'audit.

    trail

    Ajoute un jeton trailer à chaque événement d'audit.

    windata_down

    Sur un système qui est configuré avec Trusted Extensions, ajoute des événements lorsque les informations d'une fenêtre étiquetée sont rétrogradées.

    windata_up

    Sur un système qui est configuré avec Trusted Extensions, ajoute des événements lorsque les informations d'une fenêtre étiquetée sont mises à niveau.

    zonename

    Ajoute le nom de zone à chaque événement d'audit. Si la zone globale est la seule zone configurée, ajoute la chaîne zone, global à chaque événement d'audit.

    L'enregistrement d'audit suivant montre l'utilisation de la commande ls. La classe ex est auditée et la stratégie par défaut est en cours d'utilisation :

    header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1
return,success,0

    Ci-dessous, le même enregistrement lorsque toutes les stratégies sont activées :

    header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
exec_args,2,ls,/etc/security
exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit,
LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2,
HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl,
...
path,/lib/ld.so.1
attribute,100755,root,bin,21,393073,18446744073709551615
subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1
group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon
return,success,0
zone,global
sequence,197
trailer,1578

  • Utilisez le plug-in audit_syslog pour envoyer des événements d'audit à syslog.

    N'envoyez pas ces événements d'audit au plug-in audit_binfile ou audit_remote. Cette stratégie fonctionne uniquement si vous n'êtes pas obligé de conserver des enregistrements binaires des événements d'audit que vous envoyez aux journaux syslog.

  • Définissez moins d'indicateurs d'audit système et d'utilisateurs individuels d'audit.

    Diminuez l'audit pour l'ensemble des utilisateurs en réduisant le nombre de classes d'audit qui font l'objet d'un audit à l'échelle du système.

    Utilisez le mot-clé audit_flags pour les commandes roleadd, rolemod, useradd et usermod afin d'auditer les événements pour des utilisateurs et des rôles spécifiques. Pour consulter des exemples, reportez-vous à l'Example 4–11 et à la page de manuel usermod(1M).

    Utilisez les propriétés always_audit et never_audit de la commande profiles afin d'auditer les événements pour des profils de droits spécifiques. Pour plus d'informations, reportez-vous à la page de manuel profiles(1).

    Remarque -  A l'instar d'autres attributs de sécurité, les indicateurs d'audit sont affectés par ordre de recherche. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  • Créez votre propre classe d'audit.

    Vous pouvez créer des classes d'audit sur votre site. Dans ces classes, placez uniquement les événements d'audit qu'il vous faut surveiller. Pour connaître cette procédure, reportez-vous à la section Ajout d'une classe d'audit.

    Remarque -  Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant