Oracle® Solaris 11.2 での監査の管理

印刷ビューの終了

 
更新: 2014 年 7 月
 
 

監査レコードの量が多い

サイトでどのイベントを監査する必要があるかを決定したあと、推奨される次の方法を使用して、必要な情報のみを含む監査ファイルを作成します。ユーザー、役割、および権利プロファイルに監査フラグを割り当てるには、root 役割になる必要があります。

  • 具体的には、監査証跡へのイベントと監査トークンの追加を回避します。次のポリシーによって、監査トレールのサイズが増加します。

    arge

    環境変数を execv 監査イベントに追加します。execv イベントの監査のコストは高くなることがありますが、監査レコードへの変数の追加のコストは高くありません。

    argv

    コマンドのパラメータを execv 監査イベントに追加します。監査レコードにコマンドのパラメータを追加する際のコストは、高くありません。

    group

    group トークンをオプションの newgroups トークンを含む監査イベントに追加します。

    path

    path トークンをオプションの path トークンを含む監査イベントに追加します。

    public

    ファイルイベントが監査されている場合は、公開オブジェクトに対して監査可能なイベントが発生するたびに、監査トレールにイベントを追加します。ファイルクラスには、fafcfdfmfrfwcl などがあります。公開ファイルの定義については、監査の用語と概念を参照してください。

    seq

    シーケンストークンをすべての監査イベントに追加します。

    trail

    トレーラトークンをすべての監査イベントに追加します。

    windata_down

    Trusted Extensions が構成されたシステム上で、ラベル付きウィンドウ内の情報がダウングレードされるとイベントを追加します。

    windata_up

    Trusted Extensions が構成されたシステム上で、ラベル付きウィンドウ内の情報がアップグレードされるとイベントを追加します。

    zonename

    ゾーン名をすべての監査イベントに追加します。大域ゾーンが唯一の構成されたゾーンである場合は、文字列 zone, global をすべての監査イベントに追加します。

    次の監査レコードは、ls コマンドの使用を示しています。ex クラスが監査対象で、デフォルトのポリシーが使用されています。

    header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1
return,success,0

    すべてのポリシーがオンの場合、同じレコードが次のようになります。

    header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
exec_args,2,ls,/etc/security
exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit,
LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2,
HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl,
...
path,/lib/ld.so.1
attribute,100755,root,bin,21,393073,18446744073709551615
subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1
group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon
return,success,0
zone,global
sequence,197
trailer,1578

  • audit_syslog プラグインを使用して、一部の監査イベントを syslog に送信します。

    これらの監査イベントを audit_binfile または audit_remote プラグインには送信しないでください。この方法は、syslog ログに送信する監査イベントのバイナリレコードを保持する必要がない場合にのみ有効です。

  • 設定するシステム全体の監査フラグの数を減らし、個々のユーザーを監査します。

    システム全体で監査される監査クラスの数を減らすことによって、すべてのユーザーに対する監査の量を削減します。

    特定のユーザーや役割のイベントを監査するには、roleadd rolemoduseradd、および usermod コマンドの audit_flags キーワードを使用します。例については、Example 4–11 および usermod(1M) のマニュアルページを参照してください。

    特定の権利プロファイルのイベントを監査するには、profiles コマンドの always_audit および never_audit プロパティーを使用します。詳細は、profiles(1) のマニュアルページを参照してください。

    注 -  ほかのセキュリティー属性と同様に、監査フラグは検索順序によって影響を受けます。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられた権利の検索順序を参照してください。

  • 独自のカスタマイズ監査クラスを作成します。

    使用しているシステムで監査クラスを作成できます。これらのクラスに、モニターが必要な監査イベントのみを指定します。手順については、監査クラスの追加方法を参照してください。

    注 -  監査構成ファイルの変更の影響については、監査構成ファイルとパッケージ化を参照してください。
Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ