監査イベントの選択
監査の目的は、 システムのセキュリティーを危険にさらすおそれのあるアクティビティーを検出することです。
以下のアクティビティーが無許可ユーザーによって実行されたとき、 システム・セキュリティーに違反したことになり、監査の候補となります。
- トラステッド・コンピューティング・ベースのアクティビティーに従事すること
- ユーザーを認証すること
- システムにアクセスすること
- システムの構成を変更すること
- 監査システムを回避すること
- システムを初期化すること
- プログラムをインストールすること
- アカウンティングを変更すること
- システムに出し入れするために情報を転送すること
検査システムには、監査対象となるイベントのデフォルト・セットはありません。 必要に応じて、イベントまたはイベント・クラスを選択する必要があります。
あるアクティビティーを監査するためには、どのコマンドまたはプロセスが監査イベントを開始するのかを指定し、 そのイベントがシステムの /etc/security/audit/events ファイルにリストされていることを確かめなければなりません。 次に、そのイベントを /etc/security/audit/config ファイル内の該当するクラスに追加するか、あるいは /etc/security/audit/objects ファイル内のオブジェクト・スタンザに追加しなければなりません。 監査イベントと証跡フォーマット指示のリストについては、システムの /etc/security/audit/events ファイルを見てください。 監査イベント・フォーマットの書き方と使用法の説明については、『auditpr コマンド』を参照してください。
監査するイベントの選択を終えたら、類似のイベントを監査クラス別にまとめなければなりません。 次に、監査クラスがユーザーに割り当てられます。
監査クラスの選択
類似のイベントを監査クラスにまとめると、 ユーザーへの監査イベントの割り当てが容易になります。 これらの監査クラスは /etc/security/audit/config ファイルの classes スタンザに定義されます。
監査クラスの代表例として、次のものがあります。
- general
- システムの状態を変更し、ユーザーの認証を変更するイベント。 システムのアクセス制御を回避する試みを監査します。
- objects
- セキュリティー構成ファイルへの書き込みアクセス
- kernel
- カーネル・クラス内のイベントは、カーネルの処理管理機能によって生成されます。
/etc/security/audit/config ファイル内のスタンザの一例を次に示します。
classes:
general = USER_SU,PASSWORD_Change,FILE_Unlink,FILE_Link,FILE_Rename
system = USER_Change,GROUP_Change,USER_Create,GROUP_Create
init = USER_Login,USER_Logout
監査データ収集方式の選択
- ビンの収集
- 大量の監査証跡を長期に保管しておくことができます。 監査レコードは一時的ビンの働きをするファイルに書き込まれます。 このファイルがいっぱいになると、監査サブシステムが他のビン・ファイルに書き込みを行う間に、データが auditbin デーモンによって処理され、レコードが監査証跡ファイルに書き込まれて保管されます。
- ストリームの収集
- 監査データをその収集と同時に処理することができます。 監査レコードはカーネル内の循環バッファーに書き込まれ、/dev/audit を読み取ることによって取得されます。 監査レコードは、表示したり、用紙に印刷して監査証跡書類を作成したり、あるいは auditcat コマンドを使用してビン・レコードに変換したりすることができます。