AUDITDISTD.CONF(5) | FreeBSD File Formats Manual | AUDITDISTD.CONF(5) |
名称
auditdistd.conf — auditdistd(8) デーモンのための設定ファイル解説
注: 設定ファイルは、パスワードを含んでいるかもしれません。このファイルの適切なパーミッション (例えば、0600
) を設定することに注意するべきです。
# で始まるすべての行は、コメントとして扱われ、無視されます。
設定ファイルの構文
auditdistd.conf ファイルの一般的な構文は、次の通りです:
## グローバルなセクション. # 我々の名前. # デフォルトは, ホスト名の最初の部分です. name "<name>" # 接続タイムアウト. # デフォルトは, 5 です. timeout <seconds> # pidfile へのパス. # デフォルトは, "/var/run/auditdistd.pid"です. pidfile "<path>" sender { ## 送信側のセクション. # 接続のための発信元 (ソース) アドレス. # オプション. source "<addr>" # auditdistd によって管理された監査証跡ファイルがあるディレクトリ. # デフォルトは, /var/audit/dist です. directory "<dir>" # 監査証跡ファイルを送信したいターゲットシステムのための設定. host "<name>" { # 接続のための発信元 (ソース) アドレス. # オプション. source "<addr>" # auditdistd 受信側のアドレス. # デフォルトなし. 強制的. remote "<addr>" # auditdistd によって管理された監査証跡ファイルがある # ディレクトリ. # デフォルトは, /var/audit/dist です. directory "<dir>" # 接続のための TLS を使用するとき, 受信側の公開鍵の指紋. # 指紋の例: # SHA256=8F:0A:FC:8A:3D:09:80:AF:D9:AA:38:CC:8A:86:53:E6:8F:B6:1C:55:30:14:D7:F9:AA:8B:3E:73:CD:F5:76:2B fingerprint "<algorithm=hash>" # 受信側の前の確証するために使用されるパスワード. password "<password>" } # 1 つのリモートの auditdistd の受信側に現在ローカルの監査証跡 # ファイルを送信することができますが, これは, 将来変更される # かもしれません. } receiver { ## 受信側のセクション. # listen (接続を受け付け) するアドレス. 複合の listen アドレスが # 指定されるかもしれません. # デフォルトは, "tcp4://0.0.0.0:7878"と "tcp6://[::]:7878"です. listen "<addr>" # 基本ディレクトリ. # ホストセクションのディレクトリが絶対値でないなら, この基本 # ディレクトリと連結されます. # デフォルトは, "/var/audit/remote"です. directory "<basedir>" # 受信側の証明書ファイルへのパス. # デフォルトは, "/etc/security/auditdistd.cert.pem"です. certfile "<path>" # 受信側の秘密鍵ファイルへのパス. # デフォルトは, "/etc/security/auditdistd.key.pem"です. keyfile "<path>" # 監査証跡ファイルを受信したいソースシステムのための設定. host "<name>" { # 送信側のアドレス. # デフォルトなし. 強制的. remote "<addr>" # システム <name>から受信された監査証跡ファイルを # 格納するディレクトリ. # デフォルトは, "<basedir>/<name>"です. directory "<dir>" # 認証するために送信側によって使用されるパスワード. password "<password>" } # 受信するための複数のホストを設定することができます. }
ほとんどの様々な利用可能な設定パラメータは、オプションです。パラメータが特別のセクションに定義されていないなら、できたら、親のセクションから継承されます。例えば、 source パラメータが host セクションに定義されていないなら、 sender セクションから継承されます。 global セクションが source パラメータを全く定義しない場合、デフォルト値が使用されます。
設定ファイルの解説
次の文が利用可能です:- name <name>
-
このホストの名前。受信側に送信するので、同じ IP アドレスから来る 2 つ以上の送信側があるなら、適切に認識することができます。
- timeout <seconds>
-
秒単位の接続タイムアウト。デフォルト値は、 5 です。
- pidfile <path>
-
主な auditdistd(8) プロセスのプロセス ID を格納するファイル。
デフォルト値は、 /var/run/auditdistd.pid です。
- source <addr>
-
リモートの auditdistd デーモンに接続する前に、バインドするローカルアドレス。形式は、 listen 文と同じです。
- directory <path>
-
送信側モードの場合に監査証跡ファイルを検索するディレクトリ、または受信された監査証跡ファイルを格納するディレクトリ。提供されるパスは、絶対パスでなければなりません。ただ 1 つの例外は、ディレクトリが receiver セクションで提供されるとき、次に、 receiver セクションのディレクトリに host サブセクションで提供されるパスを関連させることができます。デフォルト値は、すべての sender セクションに対して /var/audit/dist で、 receiver セクションに対して /var/audit/remote で、 receiver セクションの host サブセクションに対して /var/audit/remote/<name> です、ここで<name>は、ホストの名前です。
- remote <addr>
-
リモートの auditdistd デーモンのアドレス。形式は、 listen 文と同じです。 sender モードで動作するとき、このアドレスは、 receiver に接続するために使用されます。 receiver モードで動作するとき、このアドレスからの接続だけが受け付けられます。
- listen <addr>
-
次の形式で listen (接続を受け付け) するアドレス:
protocol://protocol-specific-address
次の例のそれぞれは、同じ listen (接続を受け付け) アドレスを定義します:
0.0.0.0 0.0.0.0:7878 tcp://0.0.0.0 tcp://0.0.0.0:7878 tcp4://0.0.0.0 tcp4://0.0.0.0:7878
複数の listen (接続を受け付け) アドレスを指定することができます。デフォルトで、 auditdistd は、それぞれ、カーネルが IPv4 と IPv6 をサポートするなら、 tcp4://0.0.0.0:7878 と tcp6://[::]:7878 で listen (接続を受け付け) します。
- keyfile <path>
-
TLS 通信のための秘密鍵を含んでいるファイルへのパス。
- certfile <path>
-
TLS 通信ための証明書を含んでいるファイルへのパス。
- fingerprint <algo=hash>
-
受信側のの公開鍵の指紋。現在、SHA256 アルゴリズムだけがサポートされています。 auditdistd 設定ファイルへ張り付けられる準備ができている証明書の公開鍵の指紋は、次の実行によって取得することができます:
# openssl x509 -in /etc/security/auditdistd.cert.pem -noout -fingerprint -sha256 | awk -F '[ =]' '{printf("%s=%s\n", $1, $3)}'
- password <password>
-
パスワードは、受信側の前に送信側を認証するために使用されます。
関連ファイル
- /etc/security/auditdistd.conf
- デフォルトの auditdistd 設定ファイル。
使用例
例の設定ファイルは、次のように見えます。ウェブサーバ:
sender { host backup { remote 10.0.0.4 } }
監査バックアップサーバ:
receiver { host webserv { remote 10.0.0.1 } host mailserv { remote 10.0.0.2 } host dnsserv { remote 10.0.0.3 } }
作者
auditdistd は、FreeBSD 財団の資金提供の下で <pawel@dawidek.net>によって開発されました。March 22, 2011 | FreeBSD |