デフォルトの監査ポリシーを変更することにより、監査されるコマンドに関する詳細情報を記録したり、すべてのレコードにゾーン名を追加したり、サイトのほかのセキュリティー要件を満たしたりすることができます。
始める前に
Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
$ auditconfig -getpolicy ...
出力の説明については、監査サービスのデフォルトの表示を参照してください。
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
オプション。一時的な (アクティブな) ポリシーを作成します。一時的なポリシーは、デバッグまたはテストの目的で設定できます。
一時的なポリシーは、監査サービスがリフレッシュされるか、または auditconfig -setpolicy コマンドによってポリシーが変更されるまで有効です。
prefix の値が + のときは、ポリシーのリストが現在のポリシーに追加されます。prefix の値が - のときは、ポリシーのリストが現在のポリシーから削除されます。接頭辞を指定しない場合は、監査ポリシーがリセットされます。このオプションを使用すると、現在の監査ポリシーを保持できます。
有効または無効にするポリシーを選択します。
この例では、厳格なサイトセキュリティーには ahlt ポリシーが必要です。
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
ahlt ポリシーの前にあるプラス記号 (+) により、このポリシーが現在のポリシー設定に追加されます。プラス記号がない場合は、ahlt ポリシーによって現在の監査ポリシーがすべて置き換えられます。
使用例 3-11 一時的な監査ポリシーを設定するこの例では、ahlt 監査ポリシーが構成されます。デバッグのために、管理者は trail 監査ポリシーをアクティブなポリシーに (+trail) 一時的に (–t) 追加します。trail ポリシーは、破損した監査トレールの回復に役立ちます。
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
管理者は、デバッグが完了すると trail ポリシーを無効にします。
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
また、audit -s コマンドを実行して監査サービスをリフレッシュした場合も、この一時的なポリシーに加え、監査サービス内のほかの一時的な値がすべて削除されます。ほかの一時的な値の例については、監査キュー制御を変更する方法を参照してください。
使用例 3-12 perzone 監査ポリシーを設定するこの例では、perzone 監査ポリシーが大域ゾーン内の既存のポリシーに追加されます。perzone ポリシー設定は永続的なプロパティーとして格納されるため、perzone ポリシーはセッション中と、監査サービスが再開されたときに有効になります。ゾーンの場合、このポリシーは次のゾーンブートで使用できます。
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cnt使用例 3-13 外部監査の監査レコードを収集する
この例では、管理者が外部監査人の要件を満たす監査レコードを収集しています。管理者は、監査リモートサーバー (ARS) を使用して管理アクティビティーに関する情報を収集することに決定します。管理者は、ユーザーに起因できないアクション (ブートなど) も収集します。
管理者は、ARS を設定します。管理者は cusa クラスを監査することに加えて、監査の構成にポリシーを追加します。
# auditconfig -setflags cusa user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080) # auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy configured audit policies = ahlt,arge,argv active audit policies = ahlt,arge,argv # auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
管理者が audit_remote プラグインを有効にして、監査サービスをリフレッシュすると、レコードが収集されます。