次の手順は、監査ファイルのための ZFS プールや、対応するファイルシステムとマウントポイントを作成する方法を示しています。デフォルトでは、audit_binfile プラグインの監査ファイルは /var/audit ファイルシステムに保持されます。
始める前に
ZFS File System Management および ZFS Storage Management 権利プロファイルが割り当てられている管理者になる必要があります。後者のプロファイルを使用すると、ストレージプールを作成できます。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
ホストあたり少なくとも 200M バイトのディスク容量を割り当てます。ただし、必要な監査の量によりディスク容量要件が決まります。ディスク容量の要件によっては、この数値を超えることもあります。
zpool create コマンドは、ZFS ファイルシステムのコンテナであるストレージプールを作成します。詳細は、Oracle Solaris 11.2 での ZFS ファイルシステムの管理 の第 1 章Oracle Solaris ZFS ファイルシステム (概要)を参照してください。
# zpool create audit-pool mirror disk1 disk2
たとえば、c3t1d0 と c3t2d0 の 2 つのディスクから auditp プールを作成し、それらをミラー化します。
# zpool create auditp mirror c3t1d0 c3t2d0
ファイルシステムとマウントポイントは 1 つのコマンドで作成します。作成時に、ファイルシステムがマウントされます。たとえば、次の図は、ホスト名で格納された監査トレールのストレージを示しています。
暗号化には管理が必要です。たとえば、マウント時にはパスフレーズが必要です。詳細は、Oracle Solaris 11.2 での ZFS ファイルシステムの管理 のZFS ファイルシステムの暗号化を参照してください。
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
たとえば、auditf ファイルシステムの /audit マウントポイントを作成します。
# zfs create -o mountpoint=/audit auditp/auditf
# zfs create -p auditp/auditf/system
たとえば、sys1 システムのための暗号化されていない ZFS ファイルシステムを作成します。
# zfs create -p auditp/auditf/sys1
追加のファイルシステムを作成する 1 つの理由は、監査のオーバーフローを回避するためです。Step 8 に示すように、ファイルシステムあたりの ZFS 割り当て制限を設定できます。各割り当て制限に達すると、audit_warn 電子メールエイリアスによって通知されます。領域を解放するために、閉じられた監査ファイルをリモートサーバーに移動できます。
# zfs create -p auditp/auditf/sys1.1 # zfs create -p auditp/auditf/sys1.2
プール内のすべてのファイルシステムについて、次の ZFS プロパティーを off に設定します。
# zfs set devices=off auditp/auditf # zfs set exec=off auditp/auditf # zfs set setuid=off auditp/auditf
ZFS では通常、圧縮はファイルシステムのレベルで設定されます。ただし、このプール内のすべてのファイルシステムに監査ファイルが含まれているため、圧縮はプールのトップレベルのデータセットで設定されます。
# zfs set compression=on auditp
Oracle Solaris 11.2 での ZFS ファイルシステムの管理 のZFS の圧縮、複製解除、暗号化のプロパティー間の関連も参照してください。
親のファイルシステム、子孫のファイルシステム、またはその両方で割り当て制限を設定できます。親の監査ファイルシステム上で割り当て制限を設定した場合は、子孫のファイルシステム上の割り当て制限によって追加の制限が課せられます。
次の例では、auditp プール内の両方のディスクが割り当て制限に達すると、audit_warn スクリプトによって監査管理者に通知されます。
# zfs set quota=510G auditp/auditf
次の例では、auditp/auditf/system ファイルシステムの割り当て制限に達すると、audit_warn スクリプトによって監査管理者に通知されます。
# zfs set quota=170G auditp/auditf/sys1 # zfs set quota=170G auditp/auditf/sys1.1 # zfs set quota=165G auditp/auditf/sys1.2
デフォルトでは、監査ファイルはプールのサイズまで拡大できます。管理容易性のために、監査ファイルのサイズを制限します。Example 4–3 を参照してください。
サイトのセキュリティー要件に従うには、管理者は次の手順を実行します。
必要に応じて、暗号化された監査ログを格納するための新しい ZFS プールを作成します。
暗号化鍵を生成します。
監査ログを格納するために暗号化を有効にして監査ファイルシステムを作成し、マウントポイントを設定します。
暗号化されたディレクトリを使用するように監査を構成します。
新しい構成の設定を適用するために、監査サービスをリフレッシュします。
# zpool create auditp mirror disk1 disk2 # pktool genkey keystore=file outkey=/filename keytype=aes keylen=256 # zfs create -o encryption=aes-256-ccm \ -o keysource=raw,file:///filename \ -o compression=on -o mountpoint=/audit auditp/auditf # auditconfig -setplugin audit_binfile p_dir=/audit/ # audit -s
鍵が格納されているファイル (この例では filename など) をバックアップして、保護する必要があります。
管理者が auditf ファイルシステムの下に追加のファイルシステムを作成した場合は、これらの子孫のファイルシステムも暗号化されます。
使用例 4-2 /var/audit ディレクトリに割り当て制限を設定するこの例では、管理者は、デフォルトの監査ファイルシステム上で割り当て制限を設定します。この割り当て制限に達すると、audit_warn スクリプトによって監査管理者に警告が通知されます。
# zfs set quota=252G rpool/var/audit