AUDIT_CONTROL(5) | FreeBSD File Formats Manual | AUDIT_CONTROL(5) |
名称
audit_control — 監査システムパラメータ解説
audit_control ファイルは、いくつかの監査システムパラメータを含んでいます。このファイルの各行は次の形式です:
parameter: value
パラメータは、次の通りです:
- dir
- 監査ログファイルが格納されるディレクトリ。これらの複数のエントリがあるかもしれません。このエントリへの変更は、監査システムを再開することによってのみ、成立することができます。どのように監査システムを再開するかについては、 audit(8) を参照してください。
- dist
- on または yes に設定されるとき、 auditd(8) は、 /var/audit/dist ディレクトリのすべての証跡 (trail) ファイルへのハードリンクを作成します。それらのハードリンクは、 auditdistd(8) デーモンによって消費されます。
- flags
- どの監査イベントのクラスがすべてのユーザのために監査されるかを指定します。 audit_user(5) は、個々のユーザのためのイベントをどのように監査するかを説明しています。監査フラグの形式について下記の情報を参照してください。
- host
- ローカルシステムの監査ホスト情報を設定するとき、使用するホスト名または IP アドレスを指定します。このホスト名は、IP または IPv6 アドレスに変換され、それぞれの監査レコードのヘッダに含められます。 DNS プロトコル自体の安全上の問題に加えて一時的エラーの可能性のために、 DNS の使用を避けるべきです。代わりに、ホスト名が /etc/hosts ファイルに指定されることが強く勧められます。詳しい情報については、 hosts(5) を参照してください。
- naflags
- 動作を特定のユーザのせいにできないとき、どんなクラスのイベントが監査されるかを定義する監査フラグを含んでいます。
- minfree
- 書き込まれるファイルシステム監査ログで要求される最小の空き空間。空き空間がこの制限以下になるとき、警告が発行されます。最小の空き空間の値が設定されてないなら、デフォルトとして 20 パーセントが、カーネルによって適用されます。
- policy
- 失敗の停止、パスの監査と引数などのような、様々な振る舞いを指定するグローバルな監査ポリシフラグのリスト。
- filesz
- バイト単位の最大の追跡のサイズ。 0 以外の値に設定されるなら、監査デーモンは、ほぼこのサイズで監査追跡 (audit trail) ファイルをローテート (循環) させます。最小の追跡のサイズ (デフォルトは、512K) より少ないサイズは、無効として拒絶されます。 0 であるなら、追跡ファイルはファイルサイズに基づいて自動的にローテートしません。便宜上、追跡 (trail) サイズは、次の接尾辞文字で表現されます: B (バイト)、K (キロバイト)、M (メガバイト) または G(ギガバイト)。例えば、2M は、2097152 と同じです。
- expire-after
- いつ監査ログファイルが期限が切れて、削除されるかを指定します。これは、ファイルが、最後に書き込まれて以来の期間が経過した後、またはすべての追跡 (trail) ファイルの集まりが、指定されたサイズに到達するとき、または両方の組み合わせです。 expire-after パラメータが与えないなら、監査ログファイルは、監査制御システムによって期限が切れず、削除もされません。期限切れ指定の形式については、下記の情報を参照してください。
監査フラグ
監査フラグは、 audit_class(5) ファイルで定義される監査クラスのコンマで区切られたリストです。それらの解釈を変更する接頭辞がイベントのクラスに先行します。次の接頭辞が、各クラスに使用されます:
- (none)
- 成功したイベントと失敗したイベントの両方を記録する。
-
+
- 成功したイベントを記録する。
-
-
- 失敗したイベントを記録する。
-
^
- 成功したイベントも失敗したイベントも記録しません。
-
^+
- 成功したイベントを記録しません。
-
^-
- 失敗したイベントを記録しません。
監査ポリシフラグ
ポリシフラグフィールドは、次のリストで提供されるポリシフラグのコンマで区切られたリストです:
- cnt
- イベントは監査されていませんが、プロセスはイベントを実行し続けることができます。設定されていないなら、監査格納空間が使い尽くされるとき、プロセスはサスペンドされます。現在、これは回復可能な状態ではありません。
- ahlt
- イベントを監査することができないなら、システムは失敗で停止します—これは最初にディスクの未定の記録を枯渇させ、次に、オペレーティングシステムを停止 (halt) することから成ります。
- argv
- execve(2) への監査コマンドライン引数。
- arge
- execve(2) への監査環境変数引数。
- seq
- 生成している監査レコードのユニークな監査シーケンス番号トークンを含めます ( FreeBSD または Darwin では実装されていません)。
- group
- 生成している監査レコードの補足されたグループリストを含めます ( FreeBSD または Darwin では実装されていません。補足されたグループは、これらのシステムのレコードに決して含まれません)。
- trail
- 各監査レコードにトレーラトークン (trailer token) を追加します ( FreeBSD または Darwin では実装されていません。トレーラは、常にこれらのシステムのレコードに含まれます)。
- path
- 監査レコードにセカンダリファイルパスを含めます ( FreeBSD または Darwin では実装されていません。セカンダリパスは、これらのシステムのレコードに決して含まれません)。
- zonename
- 各監査レコードとともにゾーン ID トークンを含めます ( FreeBSD または Darwin では実装されていません。 FreeBSD 監査レコードは、現在、jail ID または名前を含んでいません)。
- perzone
- 化k素ローカルゾーンのための監査を有効にします ( FreeBSD または Darwin では実装されていません。 FreeBSD では、監査レコードは、すべての jails から集められて、単一のグローバルな追跡 (trail) に置かれます、そして、制限された監査制御だけが jail の中で許されます)。
利用可能なディスク空間を超える監査ログがシステムを停止 (halt) するつもりでないなら、インストールでは、 cnt フラグを設定して、 ahlt フラグを設定しないことをお勧めします。
監査ログ期限切れ指定
期限切れ指定は、1 つの値または 2 つの値の間の AND/OR の論理的な結合で指定することができます。監査ログファイルの期間の値は、次の接尾辞がある数です:
-
s
- 秒単位のログファイルの期間。
-
h
- 時間単位のログファイルの期間。
-
d
- 日単位のログファイルの期間。
-
y
- 年単位のログファイルの期間。
使用されるディスク空間の値は、次の接尾辞がある数です:
- (空白) または
-
B
- バイト単位の使用されているディスク空間。
-
K
- キロバイト単位の使用されているディスク空間。
-
M
- メガバイト単位の使用されているディスク空間。
-
G
- ギガバイト単位の使用されているディスク空間。
値の接尾辞は、大文字と小文字を区別しています。期間とディスク空間の両方の値が使用されているなら、それらは、 AND または OR によって分離され、両方の値は、監査ログファイルがいつ期限が切れるかを決定するために使用されます。 AND の場合は、期間とディスク空間の両方の条件は、ログファイルが削除される前に、満たさなければなりません。 OR の場合は、どちらかの条件でログファイルは、期限切れとなります。例えば:
expire-after: 60d AND 1G
これは、1 ギガバイトのディスクスペースの合計が監査ログによって使用されている場合にだけ、60 日より古いファイルを期限切れとします。
デフォルト
次の設定は、デフォルトの audit_control ファイルに現れます:
dir:/var/audit flags:lo,aa minfree:5 naflags:lo,aa policy:cnt,argv filesz:2M expire-after:10M
上記の flags パラメータは、認証と承認イベントと同様に、ログイン/ログアウトイベントに対応するシステム全体のマスクを指定します。 policy パラメータは、監査の格納が満杯になるとき、システムが失敗で停止せず、プロセスをサスペンドするべきでないこと、およびコマンドライン引数が AUE_EXECVE イベントのために監査されるべきであることを指定します。追跡 (trail) ファイルは、ファイルサイズが約 2MB に到達するとき、監査デーモンによって自動的に回転されます。追跡 (trail) ファイルは、それらの集合体のサイズが 10MB を超えるとき、期限が切れます。
関連ファイル
- /etc/security/audit_control
歴史
OpenBSM 実装は、2004 年に Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ部門、McAfee Research によって作成されました。その後にそれは、OpenBSM 配布のための基盤として TrustedBSD Project によって採用されました。作者
このソフトウェアは、Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ研究部門、McAfee Research によって作成されました。追加の作者として , と SPARTA Inc. が挙げられます。レコードを監査し、イベントストリームフォーマットを監査する Basic Security Module (BSM) インタフェースは、Sun Microsystems によって定義されました。
May 14, 2009 | FreeBSD |