auditd - 監査サービスデーモン
/usr/sbin/auditd
監査サービスデーモン auditd は、ローカル (audit_binfile(7)、audit_syslog(7) および audit_remote(7) を参照) またはリモート (下記の「監査リモートサーバー」を参照) で生成された監査データを管理します。監査が有効になっている場合、auditd は構成を読み取って次のことを行います。
監査ポリシーを構成します。
監査キュー制御パラメータを構成する。
イベント - クラスマッピングを構成する。
デフォルト監査マスクを設定する。
ローカル監査が有効な場合は (次の「ローカル監査」を参照)、1 つ以上のプラグインをロードします。
Solaris には 3 つのプラグインが用意されています。audit_binfile(7) は、バイナリ監査データをファイルに書き込みます。audit_remote(7) は、バイナリ監査データを、プライバシと整合性が保護された状態で認証済みサーバーに送信します。audit_syslog(7) は、監査レコードのテキストサマリーを syslog デーモンに送信します。
カーネルから監査データを読み取り、そのデータを各アクティブプラグインに渡します。
audit_warn(8) スクリプトを実行して、さまざまな状態について警告します。
リモート監査 (ars(7)) が有効な場合は、リクエストを処理し、リモートで生成された監査データを格納します。
監査サービスを制御するには、audit(8) を使用します。これによって、auditd が次のことを行う可能性があります。
リモート監査サーバーへの接続を閉じることで、それぞれの監査ファイルを閉じます。
現在のプロパティーに基づいてサービスを起動してリフレッシュする。
監査トレールを閉じて、ローカル監査およびリモート監査サービスを無効にします。
監査サービスを構成するには、auditconfig(8) を使用します。これによって、アクティブで持続的な次のものを構成できます。
監査ポリシー
監査キュー制御パラメータ
デフォルト監査マスク
読み込まれるプラグイン
プラグイン属性
監査リモートサーバーの状態、属性、および接続グループ
ローカルシステムで生成される監査レコードを収集すること。レコードは、大域ゾーンまたは非大域ゾーン、あるいはその両方で生成される場合があります。
監査リモートサーバー (ARS) は、監査中かつアクティブな audit_remote プラグインで構成されているシステムから監査レコードを受信して格納します。監査対象のシステムは、ARS と区別するため、ローカルで監査されるシステムと呼ばれることがあります。
1 つ以上の監査デーモンプラグインがアクティブに構成されている場合、監査サービスデーモンはローカル監査を有効にします。
監査リモートサーバー機能は、サーバーが非アクティブとして構成されておらず (auditconfig(8) の –setremote サーバーオプションを参照)、かつ少なくとも 1 つの接続グループがアクティブである場合に有効になります。詳細は、「監査リモートサーバー」のセクションを参照してください。
ローカル監査と監査リモートサーバーは個別に構成できます。
監査リモートサーバー (ARS) は、auditd の不可欠な部分です。これは、audit_remote(7) プラグインに対応します。サーバーは、その構成に従って、プラグインにより送信されるデータを取得、処理、および格納できます。
ARS は、無効な Solaris 監査コンポーネントとして提供されます。リモート監査トレールの処理に使用するには、事前に構成が必要です。ARS の構成は二重になっており、最初にセキュアな監査データトランスポートに使用されるベースとなるセキュリティーメカニズムを構成し (audit_remote(7) を参照)、次に監査サブシステムを適切に構成する必要があります。
ARS を監視および構成するには、auditconfig(8) –setremote および – getremote オプションを使用します。構成は、server の構成と group の構成に分けられます。server 構成では一般的な ARS パラメータを変更でき、group キーワードでは同じローカルストレージパラメータを共有する一連のホストである接続グループを構成できます。
サーバー構成属性サーバーが待機するアドレス。デフォルトは空の listen_address 属性で、すべてのローカルアドレスで待機します。
ローカル待機ポートで、デフォルトは 0 で 16162 を意味します。solaris-audit インターネットサービス名に関連付けられたポート。services(5) を参照してください。
接続の確立に成功しない場合、サーバーはログイン猶予時間 (秒) 後に接続を切り離します。デフォルトは 0 で、制限はありません。
サーバーが新しい接続を拒否し始める、サーバーへの未認証の同時接続数。ランダム早期ドロップモードを許可するために、この値が begin:rate:full の形式 (10:30:60 など) で指定される可能性があることに注意してください。これは、現時点で (start フィールドから) 10 個の未認証接続が存在する場合に、rate/100 (この例では 30%) の確率で ARS が接続試行を拒否することを意味します。確率は直線的に増加し、未認証接続数が full (この例では 60) に達すると、すべての接続試行が拒否されます。
属性は audit_binfile(7) で定義されたそれぞれの p_* 属性に従い、簡潔に示すと次のようになります。
ホスト監査データ単位の格納用ディレクトリ。
格納される各監査トレールファイルの最大サイズのデフォルトは 0 で、制限はありません。
audit_binfile(7) によって管理者が audit_warn(8) を使用して確認できるようになる前の、binfile_dir によるファイルシステムでの最小空き容量。0 のデフォルトは制限なしです。
サーバーへの監査データの送信を許可する、指定された接続グループ内のホストを定義します。コンマは、ホストエントリが複数存在する場合の区切り記号です。hosts が空の場合、この種の接続グループはワイルドカード接続グループと呼ばれます。新しい接続をほかのいかなる (非ワイルドカード) 接続グループにも分類できず、かつ構成済みのアクティブなワイルドカード接続グループが存在する場合、新しい接続はその接続グループに分類されます。アクティブなワイルドカード接続グループは 1 つだけ構成できます。
構成例については、「使用例」を参照してください。
包括的な構成の説明と例については、Managing Auditing in Oracle Solaris 11.4の該当する章を参照してください。
プラグインに送信される監査データ用キューの最大レコード数を指定するには、プラグインに指定する qsize パラメータによって指定されます。省略された場合は現在の hiwater マークが使用されます。auditconfig(8) の –getqctrl オプションを参照してください。この最大数に達すると、auditd は、auditconfig(8) で説明されている cnt 監査ポリシーに応じてプロセスをブロックするか、またはデータを破棄します。
監査サービスデーモンと監査プラグインは、特定の条件下でスクリプト audit_warn(8) を呼び出します。詳細は、audit_warn(8) を参照してください。
次の例では、監査リモートサーバーを、特定のアドレスで待機するように構成する手順を示します。ワイルドカード接続グループと非ワイルドカード接続グループが、1 つずつ作成されます。非ワイルドカード接続グループ構成は、tic.cz.example.com および tac.us.example.com からリモート監査データをアドレス指定します。トレールは、/var/audit/remote に格納されます。
# Print the current audit remote server configuration. # Both server and connection groups (if any) is displayed. # auditconfig -getremote # Set address the audit remote server will listen on. # auditconfig -setremote server "listen_address=192.168.0.1" # Create two connection groups. Note that by default the # connection group is created with no hosts specified # (wild card connection group). # auditconfig -setremote group create clockhouse # auditconfig -setremote group create sink # Add hosts to the connection group (convert the wild card # connection group no non-wild card one). Set the storage # directory and activate the connection group. # auditconfig -setremote group active clockhouse \ # "hosts=tic.cz.example.com,tac.us.example.com,\ # binfile_dir=/var/audit/remote" # Activate the wild card connection group. # auditconfig -setremote group active sink # Verify the audit remote server configuration. # auditconfig -getremote # Start or refresh the audit service. # audit -s
etc/security/audit/audit_class
etc/security/audit/audit_event
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
audit_event(5)、audit_class(5)、audit_class(5)、services(5)、ars(7)、attributes(7)、audit_binfile(7)、audit_flags(7)、audit_remote(7)、audit_syslog(7)、smf(7)、audit(8)、audit_warn(8)、auditconfig(8)、praudit(8)
Managing Auditing in Oracle Solaris 11.4
監査が有効になっている場合は、auditd がブート時に大域ゾーンに読み込まれます。
監査ポリシー perzone が設定されている場合は、auditd は各ゾーン内で実行され、非大域ゾーンのブート時に自動的に起動されます。perzone ポリシーの設定時にゾーンが実行されている場合、非大域ゾーンで監査を手動で開始する必要があります。非大域ゾーンで監査を開始するときに、システムや非大域ゾーンをリブートする必要はありません。auditd は audit –s で起動でき、ゾーンのその後のブート時に自動的に起動します。
auditd が非大域ゾーンで実行されている場合、非大域ゾーンの smf(7) リポジトリと /etc/security ディレクトリのファイル audit_class、user_attr、および audit_event から構成が取得されます。
構成を変更しても、それらの変更はプロセスの事前選択マスクを変更しないため、現在実行中の監査セッションには影響しません。実行中プロセスで事前選択マスクを変更するには、auditconfig コマンド (auditconfig(8) を参照) の –setpmask オプションを使用します。ユーザーがログアウトしてから再度ログインすると、次回の監査セッションで新しい構成変更が反映されます。
監査サービス FMRI は svc:/system/auditd:default です。