在 Oracle® Solaris 11.2 中管理审计

退出打印视图

 
更新时间: 2014 年 7 月
 
 

如何更改审计策略

您可能会更改缺省审计策略以记录审计命令的相关详细信息、为每个记录添加区域名称,或满足其他站点安全要求。

开始之前

您必须是指定有 "Audit Configuration"(审计配置)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 查看当前审计策略。 
    $ auditconfig -getpolicy
...

    有关输出的说明,请参见显示审计服务缺省值

  2. 查看可用的策略选项。 
    $ auditconfig -lspolicy
policy string    description:
ahlt             halt machine if it can not record an async event
all              all policies for the zone
arge             include exec environment args in audit recs
argv             include exec command line args in audit recs
cnt              when no more space, drop recs and keep a cnt
group            include supplementary groups in audit recs
none             no policies
path             allow multiple paths per event
perzone          use a separate queue and auditd per zone
public           audit public files
seq              include a sequence number in audit recs
trail            include trailer token in audit recs
windata_down     include downgraded window information in audit recs
windata_up       include upgraded window information in audit recs
zonename         include zonename token in audit recs
    注 -  只能在全局区域中设置 perzoneahlt 策略选项。有关使用特定策略选项的权衡,请参见了解审计策略
  3. 启用或禁用选定的审计策略选项。 
    # auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
    –t

    可选。创建临时或活动策略。可以设置用于调试或测试的临时策略。

    刷新审计服务或通过 auditconfig -setpolicy 命令修改策略之前,临时策略起作用。

    prefix

    prefix+ 将策略列表添加到当前策略中。prefix- 从当前策略中删除策略列表。没有前缀时,将重置审计策略。通过此选项,您可以保留当前审计策略。

    policy

    选择要启用或禁用的策略。

示例 3-10  设置 ahlt 审计策略选项

在此示例中,严格的站点安全性需要使用 ahlt 策略。

# auditconfig -setpolicy -cnt
# auditconfig -setpolicy +ahlt

ahlt 策略前的加号 (+) 将策略添加到当前策略设置。没有加号时,ahlt 策略将替换所有当前审计策略。

示例 3-11  设置临时审计策略

在此示例中,配置了 ahlt 审计策略。为了进行调试,管理员将 trail 审计策略临时 (–t) 添加到活动策略中 (+trail)。trail 策略用于帮助恢复损坏的审计迹。

$ auditconfig -setpolicy ahlt
$ auditconfig -getpolicy
configured audit policies = ahlt
active audit policies = ahlt
$ auditconfig -t -setpolicy +trail
configured audit policies = ahlt
active audit policies = ahlt,trail

调试完成后,管理员将禁用 trail 策略。

$ auditconfig -setpolicy -trail
$ auditconfig -getpolicy
configured audit policies = ahlt
active audit policies = ahlt

通过运行 audit -s 命令刷新审计服务也可以删除此临时策略,以及审计服务中的任何其他临时值。有关其他临时值的示例,请参见如何更改审计队列控制

示例 3-12  设置 perzone 审计策略

在本示例中,将 perzone 审计策略添加到全局区域中的现有策略。由于 perzone 策略设置是作为永久属性存储的,因此 perzone 策略在会话过程中重新启动审计服务后才生效。对于这些区域,策略将在下一次区域引导时可用。

$ auditconfig -getpolicy
configured audit policies = cnt
active audit policies = cnt
$ auditconfig -setpolicy +perzone
$ auditconfig -getpolicy
configured audit policies = perzone,cnt
active audit policies = perzone,cnt
示例 3-13  收集外部审计者的审计记录

在本示例中,管理员为了满足外部审计者的要求而收集审计记录。管理员决定使用审计远程服务器 (Audit Remote Server, ARS) 收集有关管理活动的信息。管理员还收集不归属于用户的操作(如引导)。

管理员设置 ARS。除审计 cusa 类外,管理员还向审计配置中添加策略。

# auditconfig -setflags cusa
user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080)
# auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy
configured audit policies = ahlt,arge,argv
active audit policies = ahlt,arge,argv
# auditconfig -setnaflags lo,na
non-attributable audit flags = lo,na(0x1400,0x1400)

管理员启用 audit_remote 插件并刷新审计服务后,系统即开始收集记录。

版权所有 © 2002, 2014, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页
下一页