auditd - 監査サービスデーモン
/usr/sbin/auditd
監査サービスデーモン auditd は、ローカル (audit_binfile(7)、audit_syslog(7) および audit_remote(7) を参照) またはリモート (下記の「監査リモートサーバー」を参照) で生成された監査データを管理します。監査が有効になっている場合、auditd は構成を読み取って次のことを行います。
監査ポリシーを構成します。
監査キュー制御パラメータを構成する。
イベント - クラスマッピングを構成する。
デフォルト監査マスクを設定する。
ローカル監査が有効な場合は (次の「ローカル監査」を参照)、1 つ以上のプラグインをロードします。
Solaris には 3 つのプラグインが用意されています。audit_binfile(7) は、バイナリ監査データをファイルに書き込みます。audit_remote(7) は、バイナリ監査データを、プライバシと整合性が保護された状態で認証済みサーバーに送信します。audit_syslog(7) は、監査レコードのテキストサマリーを syslog デーモンに送信します。
カーネルから監査データを読み取り、そのデータを各アクティブプラグインに渡します。
audit_warn(8) スクリプトを実行して、さまざまな状態について警告します。
リモート監査 (ars(7)) が有効な場合は、リクエストを処理し、リモートで生成された監査データを格納します。
監査サービスを制御するには、audit(8) を使用します。これによって、auditd が次のことを行う可能性があります。
リモート監査サーバーへの接続を閉じることで、それぞれの監査ファイルを閉じます。
現在のプロパティーに基づいてサービスを起動してリフレッシュする。
監査トレールを閉じて、ローカル監査およびリモート監査サービスを無効にします。
監査サービスを構成するには、auditconfig(8) を使用します。これによって、アクティブで持続的な次のものを構成できます。
監査ポリシー
監査キュー制御パラメータ
デフォルト監査マスク
読み込まれるプラグイン
プラグイン属性
監査リモートサーバーの状態、属性、および接続グループ
ローカルシステムで生成される監査レコードを収集すること。レコードは、大域ゾーンまたは非大域ゾーン、あるいはその両方で生成される場合があります。
監査リモートサーバー (ARS) は、監査中かつアクティブな audit_remote プラグインで構成されているシステムから監査レコードを受信して格納します。監査対象のシステムは、ARS と区別するため、ローカルで監査されるシステムと呼ばれることがあります。
1 つ以上の監査デーモンプラグインがアクティブに構成されている場合、監査サービスデーモンはローカル監査を有効にします。
監査リモートサーバー機能は、サーバーが非アクティブとして構成されておらず (auditconfig(8) の –setremote サーバーオプションを参照)、かつ少なくとも 1 つの接続グループがアクティブである場合に有効になります。See “Audit Remote Server” section for more information.
ローカル監査と監査リモートサーバーは個別に構成できます。
The Audit Remote Server, ARS, is an integral part of auditd.これは、audit_remote(7) プラグインに対応します。Data sent by the plugin can be captured, processed, and stored by the server according to its configuration, as described in the ars(7) manual page.
ARS は、無効な Solaris 監査コンポーネントとして提供されます。リモート監査トレールの処理に使用するには、事前に構成が必要です。ARS の構成は二重になっており、最初にセキュアな監査データトランスポートに使用されるベースとなるセキュリティーメカニズムを構成し (audit_remote(7) を参照)、次に監査サブシステムを適切に構成する必要があります。
ARS を監視および構成するには、auditconfig(8) –setremote および – getremote オプションを使用します。構成は、server の構成と group の構成に分けられます。The server configuration allows for changing common ARS parameters, while the group keyword allows configuration of connection groups, the sets of hosts sharing the same local storage parameters.
Server Configuration Attributesサーバーが待機するアドレス。An empty listen_address attribute defaults to listen on all local addresses.
ローカル待機ポートで、デフォルトは 0 で 16162 を意味します。solaris-audit インターネットサービス名に関連付けられたポート。See services(5).
The server disconnects after login grace time (in seconds) if the connection has not been successfully established. 0 defaults to no limit.
サーバーが新しい接続を拒否し始める、サーバーへの未認証の同時接続数。ランダム早期ドロップモードを許可するために、この値が begin:rate:full の形式 (10:30:60 など) で指定される可能性があることに注意してください。これは、現時点で (start フィールドから) 10 個の未認証接続が存在する場合に、rate/100 (この例では 30%) の確率で ARS が接続試行を拒否することを意味します。確率は直線的に増加し、未認証接続数が full (この例では 60) に達すると、すべての接続試行が拒否されます。
属性は audit_binfile(7) で定義されたそれぞれの p_* 属性に従い、簡潔に示すと次のようになります。
ホスト監査データ単位の格納用ディレクトリ。
格納される各監査トレールファイルの最大サイズのデフォルトは 0 で、制限はありません。
audit_binfile(7) によって管理者が audit_warn(8) を使用して確認できるようになる前の、binfile_dir によるファイルシステムでの最小空き容量。0 のデフォルトは制限なしです。
サーバーへの監査データの送信を許可する、指定された接続グループ内のホストを定義します。コンマは、ホストエントリが複数存在する場合の区切り記号です。hosts が空の場合、この種の接続グループはワイルドカード接続グループと呼ばれます。新しい接続をほかのいかなる (非ワイルドカード) 接続グループにも分類できず、かつ構成済みのアクティブなワイルドカード接続グループが存在する場合、新しい接続はその接続グループに分類されます。アクティブなワイルドカード接続グループは 1 つだけ構成できます。
構成例については、「使用例」を参照してください。
For comprehensive configuration description and examples, see the appropriate chapter in the Managing Auditing in Oracle Solaris 11.4 book.
プラグインに送信される監査データ用キューの最大レコード数を指定するには、プラグインに指定する qsize パラメータによって指定されます。省略された場合は現在の hiwater マークが使用されます。auditconfig(8) の –getqctrl オプションを参照してください。この最大数に達すると、auditd は、auditconfig(8) で説明されている cnt 監査ポリシーに応じてプロセスをブロックするか、またはデータを破棄します。
監査サービスデーモンと監査プラグインは、特定の条件下でスクリプト audit_warn(8) を呼び出します。詳細は、audit_warn(8) を参照してください。
次の例では、監査リモートサーバーを、特定のアドレスで待機するように構成する手順を示します。ワイルドカード接続グループと非ワイルドカード接続グループが、1 つずつ作成されます。The non-wild card connection group configuration will address remote audit data from tic.cz.example.com and tac.us.example.com.トレールは、/var/audit/remote に格納されます。
# Print the current audit remote server configuration.
# Both server and connection groups (if any) is displayed.
auditconfig -getremote
# Set address the audit remote server will listen on.
auditconfig -setremote server "listen_address=192.168.0.1"
# Create two connection groups. Note that by default the
# connection group is created with no hosts specified
# (wild card connection group).
auditconfig -setremote group create clockhouse
auditconfig -setremote group create sink
# Add hosts to the connection group (convert the wild card
# connection group no non-wild card one). Set the storage
# directory and activate the connection group.
auditconfig -setremote group active clockhouse \
"hosts=tic.cz.example.com,tac.us.example.com,\
binfile_dir=/var/audit/remote"
# Activate the wild card connection group.
# auditconfig -setremote group active sink
# Verify the audit remote server configuration.
# auditconfig -getremote
# Start or refresh the audit service.
# audit -s
etc/security/audit/audit_class
etc/security/audit/audit_event
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
audit_event(5)、audit_class(5)、audit_class(5)、services(5)、ars(7)、attributes(7)、audit_binfile(7)、audit_flags(7)、audit_remote(7)、audit_syslog(7)、smf(7)、audit(8)、audit_warn(8)、auditconfig(8)、praudit(8)
Managing Auditing in Oracle Solaris 11.4
監査が有効になっている場合は、auditd がブート時に大域ゾーンに読み込まれます。
If the audit policy perzone is set, auditd runs in each zone, starting automatically when the local zone boots.perzone ポリシーの設定時にゾーンが実行されている場合、非大域ゾーンで監査を手動で開始する必要があります。It is not necessary to reboot the system or the local zone to start auditing in a local zone. auditd can be started with audit –s and will start automatically with future boots of the zone.
When auditd runs in a local zone, the configuration is taken from the local zone's smf(7) repository and the /etc/security directory's files: audit_class, user_attr, and audit_event.
構成を変更しても、それらの変更はプロセスの事前選択マスクを変更しないため、現在実行中の監査セッションには影響しません。To change the preselection mask on a running process, use the –setpmask option of the auditconfig(8) command.ユーザーがログアウトしてから再度ログインすると、次回の監査セッションで新しい構成変更が反映されます。
監査サービス FMRI は svc:/system/auditd:default です。
The auditd daemon was added in Solaris 2.3.