AIXの監査の管理

AIX監査サブシステムを使用すると、管理者は、既存のセキュリティ・ポリシーに対する分析やセキュリティ違反の検出のために、ユーザーのログインやログアウトおよびファイルの変更といったセキュリティ関連の情報を記録できます。

監査の設定では、既存の監査構成ファイルを変更します。監査を設定するには、次のステップに従います。

1. rootユーザーとしてAIXマシンにログインします。
2. ターミナル・ウィンドウを開き、ディレクトリを/etc/security/auditに変更します。
3. viで構成ファイルを開きます。
4. 次のセクションを探して、ここに示す値を更新または追加します。

   start:
      binmode = off
      streammode = on
   
   
   stream:
     cmds = /etc/security/audit/cccstream
   
   
   classes:
   …
      filewatch = PROC_Create,PROC_Delete,FILE_Open,FILE_Write,FILE_Close,FILE_ Link,FILE_Unlink,FILE_Rename,FILE_Owner,FILE_Mode,FILE_Fchmod,FILE_Fchown,FS_Chdir,FS_Fchdir,FS_Chroot,FS_Mkdir,FS_Rmdir,FILE_Symlink,FILE_Dupfd,FILE_Mknod,FILE_Utimes
   
   users:
      root = filewatch
      default = filewatch

   ノート:

   • この場合、defaultはroot以外のすべてのユーザーを意味します。また、構成ファイルの最後の行は空白行にする必要があります。

   • 各パラメータ(binmode、streammode,、filewatch、rootおよびdefault)に対しては、前の部分にそれぞれタブを1つ用意する必要があります。監査システムですべての変数が適切に使用されていることを確認するには、audit queryコマンドを使用します。出力にfilewatchプロパティが表示されていることを確認します。

5. 変更を保存して、viを終了します。
6. 同じディレクトリ(/etc/security/audit/)で、viでファイルstreamcmdsを開きます。
7. このファイルのすべてのテキストをクリアします。ファイル・モニタリング・エージェント・モジュール(nmxcfプロセス)が直接の監査リーダーとして確認するため、このファイルのデフォルト構成は必要ありません。このファイルの内容をクリアすると、CPU使用率が低減し、監査パフォーマンスが全体的に向上します。
8. ファイルを保存し、viを終了します。
9. ターミナル・プロンプトで、次のコマンドを入力してシステム起動時に監査を初期化します。

   mkitab "audit:2:once:/usr/sbin/audit start"

10. プロンプトで、コマンド/usr/sbin/audit shutdownおよび/usr/sbin/audit startを使用して監査を再開するか、ホストを直接再起動して監査を有効にします。
11. プロンプトで、コマンドaudit queryを使用して、監査システムが使用している構成を表示します。プロパティが正しく設定されており、filewatchに必要な設定が行われていることを確認します。