기본 감사 정책을 변경하여 감사된 명령에 대한 자세한 정보를 기록하거나 영역 이름을 모든 레코드에 추가하거나 기타 사이트 보안 요구 사항을 충족할 수 있습니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
$ auditconfig -getpolicy ...
출력에 대한 설명은 감사 서비스 기본값 표시를 참조하십시오.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
선택 사항. 임시(또는 활성) 정책을 만듭니다. 디버깅 또는 테스트 목적으로 임시 정책을 설정할 수 있습니다.
임시 정책은 감사 서비스가 새로 고쳐질 때까지 또는 정책이 auditconfig -setpolicy 명령으로 수정될 때까지 유효합니다.
+의 prefix 값은 정책 목록을 현재 정책에 추가합니다. -의 prefix 값은 정책 목록을 현재 정책에서 제거합니다. 접두어가 없으면 감사 정책이 재설정됩니다. 이 옵션을 사용하여 현재 감사 정책을 유지할 수 있습니다.
사용으로 설정하거나 사용 안함으로 설정할 정책을 선택합니다.
이 예에서 엄격한 사이트 보안을 위해서는 ahlt 정책이 필요합니다.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
ahlt 정책 앞의 더하기 기호(+)는 정책을 현재 정책 설정에 추가합니다. 더하기 기호가 없으면 ahlt 정책이 현재 모든 감사 정책을 바꿉니다.
예 3-11 임시 감사 정책 설정이 예에서는 ahlt 감사 정책이 구성되었습니다. 디버깅을 위해 관리자는 trail 감사 정책을 활성 정책(+trail)에 임시로(–t) 추가합니다. trail 정책은 손상된 감사 추적을 복구하는 데 유용합니다.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
디버깅이 완료되면 관리자는 trail 정책을 사용 안함으로 설정합니다.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
audit -s 명령을 실행하여 감사 서비스를 새로 고쳐도 감사 서비스의 다른 임시 값과 함께 이 임시 정책이 제거됩니다. 다른 임시 값의 예는 감사 대기열 제어를 변경하는 방법을 참조하십시오.
예 3-12 perzone 감사 정책 설정이 예에서는 perzone 감사 정책이 전역 영역의 기존 정책에 추가됩니다. perzone 정책 설정은 영구 등록 정보로 저장되므로 perzone 정책은 세션 동안 및 감사 서비스가 다시 시작되어도 유효합니다. 해당 영역에서 정책은 다음에 영역을 부트할 때 사용할 수 있습니다.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cnt예 3-13 외부 감사자에 대한 감사 레코드 수집
이 예제에서 관리자는 외부 감사자의 요구 사항을 충족시키기 위한 감사 레코드를 수집합니다. 관리자는 ARS(감사 원격 서버)를 사용해서 관리 작업에 대한 정보를 수집하도록 결정합니다. 또한 관리자는 부트와 같이 사용자에게 지정할 수 없는 작업도 수집합니다.
관리자가 ARS를 설정합니다. cusa 클래스 감사 외에도 관리자는 감사 구성에 정책을 추가합니다.
# auditconfig -setflags cusa user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080) # auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy configured audit policies = ahlt,arge,argv active audit policies = ahlt,arge,argv # auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
관리자가 audit_remote 플러그인을 사용으로 설정하고 감사 서비스를 새로 고치면 레코드가 수집됩니다.