감사 파일에 대한 ZFS 파일 시스템을 만드는 방법

다음 절차에서는 감사 파일에 대한 ZFS 풀과 해당하는 파일 시스템 및 마운트 지점을 만드는 방법을 설명합니다. 기본적으로 /var/audit 파일 시스템에는 audit_binfile 플러그인에 대한 감사 파일이 포함됩니다.

시작하기 전에

ZFS File System Management 및 ZFS Storage Management 권한 프로파일이 지정된 관리자여야 합니다. ZFS Storage Management 권한 프로파일을 사용하여 저장소 풀을 만들 수 있습니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. 필요한 디스크 공간 크기를 결정합니다.

   호스트당 200MB 이상의 디스크 공간을 지정합니다. 하지만 필요한 감사의 양에 따라 디스크 공간 요구 사항이 결정됩니다. 사용자의 디스크 공간 요구 사항은 이 그림보다 훨씬 높을 수 있습니다.

   ---

   주 -  기본 클래스 사전 선택은 lo 클래스의 모든 기록되는 이벤트 인스턴스(로그인, 로그아웃, 역할 지정 등)에 대해 약 80바이트씩 증가하는 파일을 /var/audit에 만듭니다.

   ---

2. 미러링되는 ZFS 저장소 풀을 만듭니다.

   zpool create 명령은 ZFS 파일 시스템에 대한 컨테이너인 저장소 풀을 만듭니다. 자세한 내용은 Oracle Solaris 11.2의 ZFS 파일 시스템 관리 의 1 장, Oracle Solaris ZFS 파일 시스템(소개)을 참조하십시오.

   # zpool create audit-pool mirror disk1 disk2
   

   예를 들어, c3t1d0 및 c3t2d0의 두 디스크에서 auditp 풀을 만들고 미러링합니다.

   # zpool create auditp mirror c3t1d0 c3t2d0
   

3. 감사 파일에 대한 ZFS 파일 시스템 및 마운트 지점을 만듭니다.

   하나의 명령으로 파일 시스템 및 마운트 지점을 만듭니다. 생성 시 파일 시스템이 마운트됩니다. 예를 들어, 다음 그림은 호스트 이름으로 저장되는 감사 추적 저장소를 보여줍니다.

   
   

   ---

   주 -  파일 시스템을 암호화하려는 경우 생성 시 파일 시스템을 암호화해야 합니다. 예는 Example 4–1를 참조하십시오.

   암호화에는 관리가 필요합니다. 예를 들어, 마운트 시 문장암호가 필요합니다. 자세한 내용은 Oracle Solaris 11.2의 ZFS 파일 시스템 관리 의 ZFS 파일 시스템 암호화를 참조하십시오.

   ---

   # zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
   

   예를 들어, auditf 파일 시스템에 대한 /audit 마운트 지점을 만듭니다.

   # zfs create -o mountpoint=/audit auditp/auditf
   

4. 감사 파일에 대한 ZFS 파일 시스템을 만듭니다.

   # zfs create -p auditp/auditf/system
   

   예를 들어, sys1 시스템에 대한 암호화되지 않은 ZFS 파일 시스템을 만듭니다.

   # zfs create -p auditp/auditf/sys1
   

5. (옵션) 감사 파일에 대한 추가 파일 시스템을 만듭니다.

   추가 파일 시스템을 만드는 한 가지 이유는 감사 오버플로우를 막기 위함입니다. Step 8에 나온 대로 파일 시스템당 ZFS 할당량을 설정할 수 있습니다. audit_warn 전자 메일 별칭은 각 할당량에 도달하면 알려줍니다. 공간을 확보하기 위해 닫힌 감사 파일을 원격 서버로 이동할 수 있습니다.

   # zfs create -p auditp/auditf/sys1.1
   
   # zfs create -p auditp/auditf/sys1.2
   

6. 상위 감사 파일 시스템을 보호합니다.

   다음 ZFS 등록 정보는 풀의 모든 파일 시스템에 대해 off로 설정됩니다.

   # zfs set devices=off auditp/auditf
   
   # zfs set exec=off auditp/auditf
   
   # zfs set setuid=off auditp/auditf
   

7. 풀의 감사 파일을 압축합니다.

   일반적으로 압축은 ZFS의 파일 시스템 레벨에서 설정됩니다. 하지만 이 풀의 모든 파일 시스템에는 감사 파일이 포함되므로 압축은 풀에 대한 최상위 레벨 데이터 세트에서 설정됩니다.

   # zfs set compression=on auditp
   

   또한 Oracle Solaris 11.2의 ZFS 파일 시스템 관리 의 ZFS 압축, 중복 제거 및 암호화 등록 정보 간의 상호 작용을 참조하십시오.

8. 할당량을 설정합니다.

   상위 파일 시스템, 종속 파일 시스템 또는 둘 다에서 할당량을 설정할 수 있습니다. 상위 감사 파일 시스템에서 할당량을 설정할 경우 종속 파일 시스템에 대한 할당량을 설정하면 제한이 추가됩니다.

   1. 상위 감사 파일 시스템에서 할당량을 설정합니다.

      다음 예에서는 auditp 풀의 두 디스크가 모두 할당량에 도달하면 audit_warn 스크립트가 감사 관리자에게 알려줍니다.

      # zfs set quota=510G auditp/auditf
      

   2. 종속 감사 파일 시스템에서 할당량을 설정합니다.

      다음 예에서는 auditp/auditf/system 파일 시스템에 대한 할당량에 도달하면 audit_warn 스크립트가 감사 관리자에게 알려줍니다.

      # zfs set quota=170G auditp/auditf/sys1
      
      # zfs set quota=170G auditp/auditf/sys1.1
      
      # zfs set quota=165G auditp/auditf/sys1.2
      

9. 대량 풀의 경우 감사 파일의 크기를 제한합니다.

   기본적으로 감사 파일은 풀의 크기까지 커질 수 있습니다. 관리 용이성을 위해 감사 파일의 크기를 제한합니다. Example 4–3를 참조하십시오.

예 4-1  감사 파일에 대한 암호화된 파일 시스템 만들기

사이트 보안 요구 사항을 준수하기 위해 관리자는 다음과 같은 단계를 수행합니다.

1. 필요한 경우 암호화된 감사 로그를 저장하기 위한 새로운 ZFS 풀을 만듭니다.

2. 암호화 키를 생성합니다.

3. 감사 로그를 저장하기 위해 암호화가 설정된 감사 파일 시스템을 만들고 마운트 지점을 설정합니다.

4. 암호화된 디렉토리를 사용하도록 감사를 구성합니다.

5. 감사 서비스를 새로 고쳐서 새로운 구성 설정을 적용합니다.

# zpool create auditp mirror disk1 disk2


# pktool genkey keystore=file outkey=/filename keytype=aes keylen=256

# zfs create -o encryption=aes-256-ccm \
-o keysource=raw,file:///filename \
-o compression=on -o mountpoint=/audit auditp/auditf

# auditconfig -setplugin audit_binfile p_dir=/audit/

# audit -s

예제의 filename과 같이 키가 저장된 위치의 파일을 백업하고 보호해야 합니다.

관리자가 auditf 파일 시스템에 추가 파일 시스템을 만들면 이러한 종속 파일 시스템도 암호화됩니다.

예 4-2  /var/audit 디렉토리에서 할당량 설정

이 예에서는 관리자가 기본 감사 파일 시스템에서 할당량을 설정합니다. 이 할당량에 도달하면 audit_warn 스크립트가 감사 관리자에게 경고합니다.

# zfs set quota=252G rpool/var/audit