Oracle® Solaris 11.2의 감사 관리

인쇄 보기 종료

 
업데이트 날짜: 2014년 7월
 
 

감사 레코드 볼륨이 큼

사이트에서 감사해야 하는 이벤트를 확인한 후에는 다음 제안에 따라 필요한 정보만 포함된 감사 파일을 만듭니다. 플래그를 사용자, 역할, 권한 프로파일에 지정하려면 root 역할을 맡아야 합니다.

  • 특히, 이벤트 및 감사 토큰을 감사 추적에 추가하지 마십시오. 다음 정책은 감사 추적의 크기를 늘립니다.

    arge

    환경 변수를 execv 감사 이벤트에 추가합니다. execv 이벤트 감사는 비용이 많이 들 수 있지만 감사 레코드에 변수를 추가하는 것은 비용이 많이 들지 않습니다.

    argv

    명령 매개변수를 execv 감사 이벤트에 추가합니다. 감사 레코드에 대한 명령 매개변수 추가는 비용이 많이 들지 않습니다.

    group

    선택적 newgroups 토큰이 포함된 감사 이벤트에 그룹 토큰을 추가합니다.

    path

    선택적 path 토큰이 포함된 감사 이벤트에 path 토큰을 추가합니다.

    public

    파일 이벤트가 감사되는 경우 감사 가능한 이벤트가 public object(공용 객체)에 발생할 때마다 감사 추적에 이벤트를 추가합니다. 파일 클래스에는 fa, fc, fd, fm, fr, fwcl이 포함됩니다. 공용 파일에 대한 정의는 감사 용어 및 개념을 참조하십시오.

    seq

    모든 감사 이벤트에 시퀀스 토큰을 추가합니다.

    trail

    모든 감사 이벤트에 트레일러 토큰을 추가합니다.

    windata_down

    Trusted Extensions로 구성된 시스템에서 레이블이 있는 창의 정보가 다운그레이드될 때 이벤트를 추가합니다.

    windata_up

    Trusted Extensions로 구성된 시스템에서 레이블이 있는 창의 정보가 업그레이드될 때 이벤트를 추가합니다.

    zonename

    모든 감사 이벤트에 영역 이름을 추가합니다. 전역 영역이 유일하게 구성된 영역인 경우 모든 감사 이벤트에 zone, global 문자열을 추가합니다.

    다음 감사 레코드는 ls 명령의 사용을 보여줍니다. ex 클래스가 감사되고 기본 정책을 사용 중입니다.

    header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1
return,success,0

    다음은 모든 정책이 설정되었을 때 나타나는 동일한 레코드입니다.

    header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
exec_args,2,ls,/etc/security
exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit,
LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2,
HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl,
...
path,/lib/ld.so.1
attribute,100755,root,bin,21,393073,18446744073709551615
subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1
group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon
return,success,0
zone,global
sequence,197
trailer,1578

  • audit_syslog 플러그인을 사용하여 일부 감사 이벤트를 syslog로 보냅니다.

    이러한 감사 이벤트를 audit_binfile 또는 audit_remote 플러그인으로 보내지 마십시오. 이 전략은 syslog 로그로 보내는 감사 이벤트의 이진 레코드를 보관할 필요가 없을 경우에만 유효합니다.

  • 더 적은 시스템 전역 감사 플래그를 설정하고 개별 사용자를 감사합니다.

    시스템 전역으로 감사되는 감사 클래스의 수를 줄여 모든 사용자에 대한 감사의 양을 줄입니다.

    roleadd, rolemod, useraddusermod 명령에 audit_flags 키워드를 사용하여 특정 사용자 및 역할에 대한 이벤트를 감사합니다. 예는 Example 4–11usermod(1M) 매뉴얼 페이지를 참조하십시오.

    profiles 명령의 always_auditnever_audit 등록 정보를 사용하여 특정 권한 프로파일에 대한 이벤트를 감사합니다. 자세한 내용은 profiles(1) 매뉴얼 페이지를 참조하십시오.

    주 -  다른 보안 속성과 마찬가지로 감사 플래그는 검색 순서의 영향을 받습니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 권한 검색 순서를 참조하십시오.

  • 고유의 사용자 정의된 감사 클래스를 만듭니다.

    해당 사이트에서 감사 클래스를 만들 수 있습니다. 모니터해야 하는 감사 이벤트만 이러한 감사 클래스에 추가합니다. 절차는 감사 클래스를 추가하는 방법을 참조하십시오.

    주 -  감사 구성 파일 수정의 영향에 대한 자세한 내용은 감사 구성 파일 및 패키징을 참조하십시오.
Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음