昨日かなり時間を注ぎこんでしまった作業を悔しいので記しておく。
ほとんどの時間マニュアル読んでただけなんだけどーorz
Solaris10 で audit を有効にする方法(はじめの一歩)です。
参考ページ:Solaris のシステム管理 (セキュリティサービス) Sun Microsystems Documentation
audit_control ファイルの編集
# cd /etc/security/
# cp -p audit_control audit_control.orig
# vi audit_control
# diff audit_control.orig audit_control
7c7
< flags:
---
> flags: lo,am
9a10
> plugin: name=audit_syslog.so; p_flags=all,^+ss,^+as
/etcmail/aliases に audit_warn の受け取り口を作る
# cd /etc/mail/
# cp -p aliases aliases.orig
# diff aliases.orig aliases
55a56
> audit_warn: root
# newaliases
syslog.conf に audit.notice を落とすファイルを指定する
/etc/syslog.conf に
audit.notice /var/adm/auditlog
を追加。
# svcadm refresh system-log
は勿論実行。
SMF で audit を有効にする
その前にマシンの再起動がいるかも(理由は後述)
再起動後に
# svcs -a | grep auditd
disable 17:43:20 svc:/system/auditd:default
# svcadm enable auditd
# svcs -a | grep auditd
online 17:45:17 svc:/system/auditd:default
(`□´) 以上である!(爆)
多分以上です。
とか簡単に書いちゃってるけど、auditd がすんなりあがらなくて苦労した。。
とりあえずはここからで、あとは調整などなどしていく予定。
ハマリどころは続きで。
以下が正常な場合のステータスです。
# svcs -xv auditd
svc:/system/auditd:default (Solaris audit daemon)
状態: 2007年07月25日 (水) 17時45分17秒 以降onlineです
参照: man -M /usr/share/man -s 1M auditd
参照: man -M /usr/share/man -s 1M audit
参照: /var/svc/log/system-auditd:default.log
影響: ありません。
#
これが online にならなくて maintenance になっちゃってました。
/var/svc/log/system-auditd:default.log をみるしかない。
[ 7月 25 16:02:43 Enabled. ]
[ 7月 25 16:02:43 Executing start method ("/lib/svc/method/svc-auditd") ]
[ 7月 25 16:02:43 Method "start" exited with status 98 ]
[ 7月 25 16:02:43 Stopping for maintenance due to administrative_request. ]
[ 7月 25 16:02:43 Stopping for maintenance due to administrative_request. ]
あまり参考にならないいいいということで。
/usr/sbin/auditd を手動実行して他のエラーを探す作戦に変更。
(そうするまえに man とかいろいろ追っかけたけど省略)
/var/adm/messagesより。
Jul 25 16:47:14 xxx xxxxx: [ID 702911 daemon.alert] The audit_warn mail alias i
s not defined
Jul 25 16:47:14 xxx xxxxx: [ID 702911 daemon.alert] audit failed to start becau
se it cannot read or write the system's audit state. This may be due to a config
uration error. Must reboot to start auditing!
audit_warn のメールエイリアスの定義と再起動だそうで。
ちゃんとマニュアル嫁って感じorz
んでマシンを再起動した結果、 うまくいくと
/var/svc/log/system-auditd:default.log のログには以下のような表示がでます。
[ 7月 25 17:45:16 Executing start method ("/lib/svc/method/svc-auditd") ]
Starting BSM services.
Configured 256 kernel events.
Configured non-attributable events.
となるわけです。
telnet で接続してみたり、su で失敗してみたりすると
Jul 25 17:45:17 xxxx audit: [ID 905220 audit.notice] system booted text booting kernel
Jul 25 17:46:30 xxxx audit: [ID 636127 audit.notice] login - telnet ok session 456016441 by xxxxx as xxxxx:sysadmin from xxxxx.xxxxx.com
Jul 25 17:53:54 xxxx audit: [ID 329779 audit.notice] su failed session 456016441 by xxxxx as root:sysadmin from xxxxx.xxxxx.com text ユーザー root に対する 不正な認証。
Jul 25 17:54:00 xxxx audit: [ID 381459 audit.notice] su ok session 456016441 by xxxxx as root:sysadmin from xxxxx.xxxxx.com text ユーザー root に対する 成功
といったログが /var/adm/auditlog に表示されるようになります。
ローテーションとか適当に組みましょう。
なんもしてないテストサーバでやったので自分はまだ設定してませんが。
