감사 설정

온라인 편집

이 프로시저는 감사 서브시스템 설정 방법을 보여줍니다. 자세한 특정 정보에 대해서는 이 단계에 명시된 구성 파일을 참조하십시오.

  1. /etc/security/audit/events 파일의 리스트에서 감사할 시스템 활동(이벤트)을 선택하십시오. 새 감사 이벤트를 애플리케이션 또는 커널 확장에 추가한 경우, 파일을 편집하여 새 이벤트를 추가해야 합니다.
    • 애플리케이션 프로그램(' auditwrite ' 또는 ' auditlog 서브루틴 사용) 또는 커널 확장(' audit_svcstart, ' audit_svcbcopy' 및 ' audit_svcfinis ' 커널 서비스 사용)에 해당 이벤트를 기록하는 코드를 포함시킨 경우 이 파일에 이벤트를 추가합니다.
    • 새 감사 이벤트에 대한 서식 지정 지침이 ' /etc/security/audit/events ' 파일에 포함되어 있는지 확인하세요. 이러한 사양을 통해 ' auditpr ' 명령은 감사 기록을 포맷할 때 감사 추적을 작성할 수 있습니다.
  2. 선택한 감사 이벤트를 감사 클래스라고 하는 유사 항목 세트로 그룹화하십시오. /etc/security/audit/config 파일의 class 스탠자에서 이러한 감사 클래스를 정의하십시오.
  3. 다음과 같이 감사 클래스를 개별 사용자에게 지정하고 감사 이벤트를 감사할 파일(오브젝트)에 지정하십시오.
    • 감사 클래스를 개별 사용자에게 지정하려면, /etc/security/audit/config 파일의 users 스탠자에 한 행을 추가하십시오. 감사 클래스를 사용자에게 지정하려면, chuser 명령을 사용할 수 있습니다.
    • 감사 이벤트를 오브젝트(데이터 또는 실행 파일)에 지정하려면, 해당 파일의 스탠자를 /etc/security/audit/objects 파일에 추가하십시오.
    • /usr/lib/security/mkuser.default 파일을 편집하여 새 사용자의 디폴트 감사 클래스를 지정할 수도 있습니다 이 파일은 새 사용자 ID를 생성할 때 사용할 사용자 속성을 가지고 있습니다. 예를 들어, 모든 새 사용자 ID에 대해 다음과 같이 general 감사 클래스를 사용하십시오.
      user:
    auditclasses = general
    pgrp = staff
    groups = staff
    shell = /usr/bin/ksh
    home = /home/$USER

      모든 감사 이벤트를 가져오려면 ' ALL 클래스를 지정하세요. 적당하게 사용 중인 시스템에 대해서도 이렇게 하면 엄청난 양의 데이터가 생성됩니다. 일반적으로 기록되는 이벤트 수를 제한하는 것이 더 실용적입니다.

  4. /etc/security/audit/config 파일에서 BIN 집합, 스트림 집합 또는 두 방법 모두를 사용하려는 데이터 집합 유형을 구성하십시오. 감사 데이터에 대해 별도의 파일 시스템을 사용하여 감사 데이터가 파일 공간에 대해 다른 데이터와 경합하지 않도록 하십시오. 그러면 감사 데이터에 대한 충분한 공간이 있게 됩니다. 다음과 같이 데이터 집합 유형을 구성하십시오.
    • BIN 집합을 구성하려면 다음을 수행하십시오.
      1. start 스탠자에서 binmode = on을 설정하여 BIN 모드 집합을 사용으로 설정하십시오.
      2. binmode 스탠자를 편집하여 bin 및 추적을 구성하고, BIN 모드 백엔드 처리 명령을 포함하는 파일의 경로를 지정하십시오. 백엔드 명령의 기본 파일은 ' /etc/security/audit/bincmds ' 파일입니다.
      3. 감사 bin이 필요한 만큼 충분히 큰지 확인하고 파일 시스템이 완전히 채워질 경우 경고가 발생하도록 freespace 매개변수를 설정하십시오.
      4. /etc/security/audit/bincmds 파일에 감사 파이프에서 감사 bin을 처리하는 쉘 명령을 포함시키십시오.
    • 스트림 집합을 구성하려면 다음을 수행하십시오.
      1. 시작 소절에 ' streammode = on '을 설정하여 스트림 모드 컬렉션을 활성화합니다.
      2. streammode 스탠자를 편집하여 streammode 처리 명령을 포함하는 파일에 대한 경로를 지정하십시오. 이 정보를 포함하는 디폴트 파일은 /etc/security/audit/streamcmds 파일입니다.
      3. /etc/security/audit/streamcmds 파일에 감사 파이프에서 스트림 레코드를 처리하는 쉘 명령을 포함시키십시오.
  5. 구성 파일에 필요한 변경을 완료했으면 ' audit start 명령을 사용하여 감사 하위 시스템을 활성화할 준비가 된 것입니다. 이는 값이 1인 AUD_It 이벤트를 생성합니다.
  6. 감사 중인 이벤트 및 오브젝트를 보려면 audit query 명령을 사용하십시오. 이는 값이 2인 AUD_It 이벤트를 생성합니다.
  7. audit shutdown 명령을 사용하여 감사 서브시스템을 다시 비활성화하십시오. 이는 값이 4인 AUD_It 이벤트를 생성합니다.