이 절차에서는 원격 시스템 ARS(감사 원격 서버)가 하나 이상의 감사되는 시스템에서 감사 레코드를 수신하고 저장하도록 구성합니다. 그런 후 원격 서버에서 감사 데몬을 활성화합니다.
구성은 두 가지입니다. 첫째, 감사 데이터를 보안 방식으로 전송하도록 기본 보안 방식을 구성합니다. 즉, KDC를 구성합니다. 둘째, 감사되는 시스템과 ARS 모두에서 감사 서비스를 구성합니다. 이 절차에서는 ARS와 KDC가 동일한 서버에 있는 하나의 감사 클라이언트 및 하나의 ARS가 포함된 시나리오를 보여줍니다. 마찬가지로 보다 복잡한 시나리오도 구성할 수 있습니다. 처음 4개 단계에서는 KDC의 구성을 설명하고, 마지막 단계에서는 감사 서비스의 구성을 설명합니다.
시작하기 전에
다음을 완료했는지 확인합니다. root 역할을 맡아야 합니다.
root 역할을 맡았습니다.
감사 레코드를 원격 저장소에 스트리밍하기 위한 준비 방법에 설명된 대로 Kerberos 패키지를 설치했습니다.
원격 저장소에 감사 파일을 보내는 방법에 설명된 대로 감사되는 시스템을 구성한 관리자와 함께 작업합니다.
감사되는 시스템 및 ARS가 모두 사용할 수 있는 시스템에 KDC가 필요하며, 각 시스템에 호스트 주체가 있어야 하고 audit 서비스 주체가 필요합니다. 다음 예제는 KDC 구성 전략을 보여줍니다.
arstore # kdcmgr -a audr/admin -r EXAMPLE.COM create master
이 명령은 관리 주체인 audr/admin을 사용하여 EXAMPLE.COM 영역에 마스터 KDC를 만들고 마스터 KDC를 사용으로 설정한 후 Kerberos 서비스를 시작합니다.
자세한 내용은 kdcmgr(1M) 매뉴얼 페이지를 참조하십시오.
# kdcmgr status KDC Status Information -------------------------------------------- svc:/network/security/krb5kdc:default (Kerberos key distribution center) State: online since Wed Feb 29 01:59:27 2012 See: man -M /usr/share/man -s 1M krb5kdc See: /var/svc/log/network-security-krb5kdc:default.log Impact: None. KDC Master Status Information -------------------------------------------- svc:/network/security/kadmin:default (Kerberos administration daemon) State: online since Wed Feb 29 01:59:28 2012 See: man -M /usr/share/man -s 1M kadmind See: /var/svc/log/network-security-kadmin:default.log Impact: None. Transaction Log Information -------------------------------------------- Kerberos update log (/var/krb5/principal.ulog) Update log dump : Log version # : 1 Log state : Stable Entry block size : 2048 Number of entries : 13 First serial # : 1 Last serial # : 13 First time stamp : Wed Feb 29 01:59:27 2012 Last time stamp : Mon Mar 5 19:29:28 2012 Kerberos Related File Information -------------------------------------------- (Displays any missing files)
KDC 시스템에서 kadmin.local 명령을 입력하여 주체를 추가할 수 있습니다. 또는 kadmin 명령을 사용하고 암호를 제공하여 주체를 원격으로 추가할 수 있습니다. 이 예에서 arstore 시스템은 KDC를 실행합니다.
# kadmin -p audr/admin kadmin: addprinc -randkey audit/arstore.example.com@EXAMPLE.COM kadmin: ktadd audit/arstore.example.com@EXAMPLE.COM
수신자와 발신자 모두 키가 있어야 합니다.
enigma # kclient .. Enter the Kerberos realm: EXAMPLE.COM .. KDC hostname for the above realm: arstore.example.com .. Will this client need service keys ? [y/n]: y
# auditconfig -setremote group create Bank_A
Bank_A는 연결 그룹입니다. hosts 속성이 정의되지 않았기 때문에 이 그룹은 모든 연결을 받아들이는 와일드카드 그룹입니다. 이 Kerberos 영역에서 audit_remote 플러그인이 올바르게 구성된 모든 감사되는 시스템은 이 ARS에 연결할 수 있습니다.
# auditconfig -setremote group Bank_A "hosts=enigma.example.com"
연결 그룹 Bank_A는 이제 enigma 시스템의 연결만 받아들입니다. 다른 호스트의 연결은 거절됩니다.
# auditconfig -setremote group Bank_A "binfile_fsize=4GB" # auditconfig -getremote Audit Remote Server Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0; Connection group: Bank_A (inactive) Attributes: binfile_dir=/var/audit;binfile_fsize=4GB;binfile_minfree=1; hosts=enigma.example.com;
ARS를 지정하려면 p_hosts 속성을 사용합니다.
enigma # auditconfig -setplugin audit_remote \ active p_hosts=arstore.example.com enigma # auditconfig -getplugin audit_remote Plugin: audit_remote Attributes: p_retries=3;p_timeout=5;p_hosts=arstore.example.com;
감사 서비스는 새로 고쳐질 때 감사 플러그인 변경 사항을 읽습니다.
# audit -s
KDC는 이제 감사되는 시스템 enigma와 ARS 사이의 연결을 관리합니다.
이 예에서는 이 절차의 예를 확장합니다. 관리자는 두 개의 연결 그룹을 만들어서 ARS의 호스트별로 감사 레코드를 구분합니다.
audsys1의 감사 파일은 이 ARS에서 Bank_A 연결 그룹으로 스트리밍됩니다.
arstore # auditconfig -setremote group create Bank_A arstore # auditconfig -setremote group active Bank_A "hosts=audsys1" \ "hosts=audsys1;binfile_dir=/var/audit/audsys1;binfile_fsize=4M;"
audsys2의 감사 파일은 Bank_B 연결 그룹으로 스트리밍됩니다.
arstore # auditconfig -setremote group create Bank_B arstore # auditconfig -setremote group active Bank_B \ "hosts=audsys2;binfile_dir=/var/audit/audsys2;binfile_fsize=4M;"
유지 관리를 쉽게 하기 위해 관리자는 다른 속성 값을 동일하게 설정합니다.
arstore # auditconfig -getremote Audit Remote Server Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0; Connection group: Bank_A Attributes: binfile_dir=/var/audit/audsys1;binfile_fsize=4M;binfile_minfree=1; hosts=audsys1 Connection group: Bank_B Attributes: binfile_dir=/var/audit/audsys2;binfile_fsize=4M;binfile_minfree=1; hosts=audsys2예 4-10 KDC와 다른 시스템에 ARS 배치
이 예에서 관리자는 KDC와 다른 시스템에 ARS를 배치합니다. 첫째, 관리자가 마스터 KDC를 만들고 구성합니다.
kserv # kdcmgr -a audr/admin -r EXAMPLE.COM create master kserv # kadmin.local -p audr/admin kadmin: addprinc -randkey \ audit/arstore.example.com@EXAMPLE.COM kadmin: ktadd -t /tmp/krb5.keytab.audit \ audit/arstore.example.com@EXAMPLE.COM
/tmp/krb5.keytab.audit 파일을 ARS arstore로 안전하게 전송한 후 관리자가 파일을 올바른 위치로 이동합니다.
arstore # chown root:root krb5.keytab.audit arstore # chmod 600 krb5.keytab.audit arstore # mv krb5.keytab.audit /etc/krb5/krb5.keytab
파일을 다시 작성하는 대신 관리자는 ARS에서 ktutil 명령을 사용하여 KDC krb5.keytab.audit 파일을 arstore의 /etc/krb5/krb5.keytab 파일에 있는 기존 키와 병합할 수도 있습니다.
마지막으로 관리자가 감사되는 시스템에서 키를 생성합니다.
enigma # kclient .. Enter the Kerberos realm: EXAMPLE.COM .. KDC hostname for the above realm: kserv.example.com .. Will this client need service keys ? [y/n]: y