監査ファイルのための ZFS ファイルシステムを作成する方法

次の手順は、監査ファイルのための ZFS プールや、対応するファイルシステムとマウントポイントを作成する方法を示しています。デフォルトでは、audit_binfile プラグインの監査ファイルは /var/audit ファイルシステムに保持されます。

始める前に

ZFS File System Management および ZFS Storage Management 権利プロファイルが割り当てられている管理者になる必要があります。後者のプロファイルを使用すると、ストレージプールを作成できます。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

1. 必要なディスク容量を決定します。

   ホストあたり少なくとも 200M バイトのディスク容量を割り当てます。ただし、必要な監査の量によりディスク容量要件が決まります。ディスク容量の要件によっては、この数値を超えることもあります。

   ---

   注 -  デフォルトのクラスの事前選択によって、ログイン、ログアウト、役割の引き受けなどの、lo クラス内のイベントの記録されたインスタンスごとに約 80 バイトずつ拡大するファイルが /var/audit 内に作成されます。

   ---

2. ミラー化された ZFS ストレージプールを作成します。

   zpool create コマンドは、ZFS ファイルシステムのコンテナであるストレージプールを作成します。詳細は、Oracle Solaris 11.2 での ZFS ファイルシステムの管理 の第 1 章Oracle Solaris ZFS ファイルシステム (概要)を参照してください。

   # zpool create audit-pool mirror disk1 disk2
   

   たとえば、c3t1d0 と c3t2d0 の 2 つのディスクから auditp プールを作成し、それらをミラー化します。

   # zpool create auditp mirror c3t1d0 c3t2d0
   

3. 監査ファイルのための ZFS ファイルシステムとマウントポイントを作成します。

   ファイルシステムとマウントポイントは 1 つのコマンドで作成します。作成時に、ファイルシステムがマウントされます。たとえば、次の図は、ホスト名で格納された監査トレールのストレージを示しています。

   
   

   ---

   注 -  ファイルシステムの暗号化を予定している場合は、作成時にファイルシステムを暗号化する必要があります。例については、Example 4–1 を参照してください。

   暗号化には管理が必要です。たとえば、マウント時にはパスフレーズが必要です。詳細は、Oracle Solaris 11.2 での ZFS ファイルシステムの管理 のZFS ファイルシステムの暗号化を参照してください。

   ---

   # zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
   

   たとえば、auditf ファイルシステムの /audit マウントポイントを作成します。

   # zfs create -o mountpoint=/audit auditp/auditf
   

4. 監査ファイルのための ZFS ファイルシステムを作成します。

   # zfs create -p auditp/auditf/system
   

   たとえば、sys1 システムのための暗号化されていない ZFS ファイルシステムを作成します。

   # zfs create -p auditp/auditf/sys1
   

5. (オプション) 監査ファイルのための追加のファイルシステムを作成します。

   追加のファイルシステムを作成する 1 つの理由は、監査のオーバーフローを回避するためです。Step 8 に示すように、ファイルシステムあたりの ZFS 割り当て制限を設定できます。各割り当て制限に達すると、audit_warn 電子メールエイリアスによって通知されます。領域を解放するために、閉じられた監査ファイルをリモートサーバーに移動できます。

   # zfs create -p auditp/auditf/sys1.1
   
   # zfs create -p auditp/auditf/sys1.2
   

6. 親の監査ファイルシステムを保護します。

   プール内のすべてのファイルシステムについて、次の ZFS プロパティーを off に設定します。

   # zfs set devices=off auditp/auditf
   
   # zfs set exec=off auditp/auditf
   
   # zfs set setuid=off auditp/auditf
   

7. プール内の監査ファイルを圧縮します。

   ZFS では通常、圧縮はファイルシステムのレベルで設定されます。ただし、このプール内のすべてのファイルシステムに監査ファイルが含まれているため、圧縮はプールのトップレベルのデータセットで設定されます。

   # zfs set compression=on auditp
   

   Oracle Solaris 11.2 での ZFS ファイルシステムの管理 のZFS の圧縮、複製解除、暗号化のプロパティー間の関連も参照してください。

8. 割り当て制限を設定します。

   親のファイルシステム、子孫のファイルシステム、またはその両方で割り当て制限を設定できます。親の監査ファイルシステム上で割り当て制限を設定した場合は、子孫のファイルシステム上の割り当て制限によって追加の制限が課せられます。

   1. 親の監査ファイルシステム上で割り当て制限を設定します。

      次の例では、auditp プール内の両方のディスクが割り当て制限に達すると、audit_warn スクリプトによって監査管理者に通知されます。

      # zfs set quota=510G auditp/auditf
      

   2. 子孫の監査ファイルシステム上で割り当て制限を設定します。

      次の例では、auditp/auditf/system ファイルシステムの割り当て制限に達すると、audit_warn スクリプトによって監査管理者に通知されます。

      # zfs set quota=170G auditp/auditf/sys1
      
      # zfs set quota=170G auditp/auditf/sys1.1
      
      # zfs set quota=165G auditp/auditf/sys1.2
      

9. 大規模なプールの場合は、監査ファイルのサイズを制限します。

   デフォルトでは、監査ファイルはプールのサイズまで拡大できます。管理容易性のために、監査ファイルのサイズを制限します。Example 4–3 を参照してください。

使用例 4-1  監査ファイルのための暗号化されたファイルシステムを作成する

サイトのセキュリティー要件に従うには、管理者は次の手順を実行します。

1. 必要に応じて、暗号化された監査ログを格納するための新しい ZFS プールを作成します。

2. 暗号化鍵を生成します。

3. 監査ログを格納するために暗号化を有効にして監査ファイルシステムを作成し、マウントポイントを設定します。

4. 暗号化されたディレクトリを使用するように監査を構成します。

5. 新しい構成の設定を適用するために、監査サービスをリフレッシュします。

# zpool create auditp mirror disk1 disk2


# pktool genkey keystore=file outkey=/filename keytype=aes keylen=256

# zfs create -o encryption=aes-256-ccm \
-o keysource=raw,file:///filename \
-o compression=on -o mountpoint=/audit auditp/auditf

# auditconfig -setplugin audit_binfile p_dir=/audit/

# audit -s

鍵が格納されているファイル (この例では filename など) をバックアップして、保護する必要があります。

管理者が auditf ファイルシステムの下に追加のファイルシステムを作成した場合は、これらの子孫のファイルシステムも暗号化されます。

使用例 4-2  /var/audit ディレクトリに割り当て制限を設定する

この例では、管理者は、デフォルトの監査ファイルシステム上で割り当て制限を設定します。この割り当て制限に達すると、audit_warn スクリプトによって監査管理者に警告が通知されます。

# zfs set quota=252G rpool/var/audit