この手順に従えば、すべてのゾーンを同様に監査できます。この方法を使えば、必要とされるコンピュータオーバーヘッドと管理リソースが最小になります。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
監査サービスの構成のタスクを行います。ただし、次の点は例外です。
perzone 監査ポリシーを有効にしないでください。
zonename ポリシーを設定します。このポリシーによって、ゾーンの名前がすべての監査レコードに追加されます。
# auditconfig -setpolicy +zonename
audit_class または audit_event ファイルを変更した場合は、次の 2 つの方法のどちらかでコピーします。
これらのファイルをループバックマウントできます。
これらのファイルをコピーできます。
非大域ゾーンが動作している必要があります。
# zoneadm -z non-global-zone halt
# zonecfg -z non-global-zone zone: add fs zone/fs: set special=/etc/security/audit-file zone/fs: set dir=/etc/security/audit-file zone/fs: set type=lofs zone/fs: add options [ro,nodevices,nosetuid] zone/fs: commit zone/fs: end zone: exit #
# zoneadm -z non-global-zone boot
あとで、大域ゾーンで監査構成ファイルを変更した場合は、ループバックマウントされたファイルを非大域ゾーンでリフレッシュするために各ゾーンをリブートします。
# ls /zone/zonename/root/etc/security/
# cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file
あとで、大域ゾーンでこれらのファイルのいずれかを変更した場合は、変更されたファイルを非大域ゾーンにコピーする必要があります。
この例では、システム管理者が audit_class、audit_event、および audit_warn ファイルを変更しました。
audit_warn ファイルは大域ゾーンでのみ読み取られるため、非大域ゾーンにマウントする必要はありません。
このシステム machine1 上で、管理者は 2 つの非大域ゾーン machine1–webserver と machine1–appserver を作成しました。管理者は、監査構成ファイルの変更を完了しました。管理者があとでこれらのファイルを変更した場合は、ループバックマウントを再読み込みするために、ゾーンをリブートする必要があります。
# zoneadm -z machine1-webserver halt # zoneadm -z machine1-appserver halt # zonecfg -z machine1-webserver webserver: add fs webserver/fs: set special=/etc/security/audit_class webserver/fs: set dir=/etc/security/audit_class webserver/fs: set type=lofs webserver/fs: add options [ro,nodevices,nosetuid] webserver/fs: commit webserver/fs: end webserver: add fs webserver/fs: set special=/etc/security/audit_event webserver/fs: set dir=/etc/security/audit_event webserver/fs: set type=lofs webserver/fs: add options [ro,nodevices,nosetuid] webserver/fs: commit webserver/fs: end webserver: exit # # zonecfg -z machine1-appserver appserver: add fs appserver/fs: set special=/etc/security/audit_class appserver/fs: set dir=/etc/security/audit_class appserver/fs: set type=lofs appserver/fs: add options [ro,nodevices,nosetuid] appserver/fs: commit appserver/fs: end appserver: exit
非大域ゾーンがリブートされると、audit_class および audit_event ファイルは、これらのゾーンで読み取り専用になります。