始める前に
非大域ゾーンを実装している場合は、この手順を使用する前に、ゾーン内での監査の計画を確認してください。
デフォルトでは、cnt ポリシーだけが有効になっています。
使用可能なポリシーオプションの説明を表示するには、auditconfig -lspolicy コマンドを使用します。
ポリシーオプションの効果については、監査ポリシーについてを参照してください。
cnt ポリシーの効果については、非同期イベントおよび同期イベントの監査ポリシーを参照してください。
監査ポリシーを設定するには、監査ポリシーを変更する方法を参照してください。
ほぼすべての状況で、デフォルトのマッピングをそのまま使用できます。ただし、新しいクラスを追加したり、クラス定義を変更したりする場合や、特定のシステムコールのレコードが有効でないと判断される場合は、イベントからクラスへのマッピングを変更することもできます。
例は、監査イベントの所属先クラスの変更方法を参照してください。
監査クラスを追加したり、デフォルトのクラスを変更したりするには、ユーザーがシステムにログインする前に行うのが最適です。
auditconfig コマンドの –setflags および –setnaflags オプションを使用して事前選択した監査クラスは、すべてのユーザーとプロセスに適用されます。成功、失敗、またはその両方に対してクラスを事前選択できます。
監査クラスの一覧については、/etc/security/audit_class ファイルを参照してください。
一部のユーザーをシステムとは異なる方法で監査した方がよいと判断される場合は、個々のユーザーまたは権利プロファイルに対する audit_flags セキュリティー属性を変更できます。ユーザーの事前選択マスクは、監査フラグが明示的に設定されているユーザー、または明示的な監査フラグを含む権利プロファイルが割り当てられているユーザーに対して変更されます。
手順については、ユーザーの監査特性を構成する方法を参照してください。有効な監査フラグの値については、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられた権利の検索順序を参照してください。
audit_warn スクリプトは、監査システムによって管理上の注意が必要な状況が検出されたときは常に実行されます。デフォルトでは、audit_warn スクリプトは、audit_warn のエイリアスに電子メールを送信し、コンソールにメッセージを送信します。
エイリアスを設定するには、audit_warn 電子メールエイリアスの構成方法を参照してください。
次の 3 つの選択肢があります。
デフォルトでは、バイナリ監査レコードをローカルに格納します。デフォルトの格納ディレクトリは /var/audit です。audit_binfile プラグインをさらに構成するには、監査ファイルのための ZFS ファイルシステムを作成する方法を参照してください。
audit_remote プラグインを使用して、バイナリ監査レコードを保護されたリモートリポジトリにストリーム出力します。レコードの受信者が存在する必要があります。要件については、リモートリポジトリの管理を参照してください。手順については、監査ファイルをリモートリポジトリに送信する方法を参照してください。
audit_syslog プラグインを使用して、監査レコードの概要を syslog に送信します。手順については、syslog 監査ログの構成方法を参照してください。
バイナリ形式と syslog 形式の比較については、監査ログを参照してください。
監査ファイルシステム上のディスク容量が最小空き容量の割合 (または、弱い制限値) を下回ると、監査サービスは次に使用可能な監査ディレクトリに切り替えます。このサービスは次に、弱い制限値を超えたことを示す警告を送信します。
最小空き容量の割合を設定する方法については、Example 4–7 を参照してください。
デフォルトの構成では、audit_binfile プラグインがアクティブであり、–cnt ポリシーが設定されます。この構成では、カーネル監査キューがいっぱいになっても、システムは動作し続けます。システムは破棄された監査レコードを数えますが、イベントを記録しません。セキュリティーをより向上させるためには、–cnt ポリシーを無効にして、–ahlt ポリシーを有効にします。–ahlt ポリシーは、非同期イベントが監査キューに配置できない場合、システムを停止します。
ただし、audit_binfile キューがいっぱいになったときに、別のアクティブなプラグインのキューがいっぱいでない場合、カーネルキューは、そのいっぱいでないプラグインにレコードを送信し続けます。audit_binfile キューがふたたびレコードを受け入れることができるようになると、監査サービスは、そのキューへのレコードの送信を再開します。
–cnt および –ahlt ポリシーオプションについては、非同期イベントおよび同期イベントの監査ポリシーを参照してください。これらのポリシーオプションを構成する方法については、Example 3–10 を参照してください。