Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.3. 監査 サービスの設定

Audit デーモンは /etc/audit/auditd.conf 設定ファイルで設定できます。このファイルは、Audit デーモンの動作を変更する設定パラメーターで構成されます。空の行やハッシュ記号(#)の後に続くテキストは無視されます。以下を参照してください。 auditd.conf(5) man ページは、すべての設定パラメーターとその説明の完全リストを提供します。

7.3.1. CAPP 環境での auditd の設定

デフォルトの auditd 設定は、ほとんどの環境に適しています。ただし、ご使用の環境が Common Criteria 証明書の一部である Controlled Access Protection Profile (CAPP)で設定されている基準を満たす必要がある場合は、Audit デーモンを以下の設定で設定する必要があります。
  • Audit ログファイル(通常は /var/log/audit/)を保持するディレクトリーは、別のパーティションに存在する必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。
  • 1 つの Audit ログファイルの最大サイズを指定する max_log_file パラメーターは、Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。
  • に設定されている制限に max_log_file 達すると実行するアクションを指定する max_log_file_action パラメーターは、Audit ログファイルが上書きされないよう keep_logs に設定する必要があります。
  • space_left パラメーターで設定したアクションがトリガーされるディスク上に残される空き領域の量を指定する space_left_action パラメーターは、管理者がディスク領域に対応および解放するのに十分な時間を設定する必要があります。この space_left 値は、Audit ログファイルが生成される速度によって異なります。
  • space_left_action パラメーターを exec 適切な通知方法に設定 email することが推奨されます。
  • admin_space_left パラメーターで設定したアクションがトリガーされるディスクの最小領域の最小量を指定する admin_space_left_action パラメーターは、管理者が実行するアクションのログを記録するのに十分な領域を残す値に設定する必要があります。
  • admin_space_left_action パラメーターは、システムを single シングルユーザーモードにし、管理者がディスク領域を解放できるように設定する必要があります。
  • disk_full_action パラメーター。Audit ログファイルを保持するパーティションに空き領域がない場合にトリガーされる動作を指定します。このパラメーターは、halt またはに設定する必要があり singleます。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。
  • disk_error_action。Audit ログファイルを保持するパーティションでエラーが検出された場合に発生するアクションを指定する、、、、または、ハードウェアの誤作動の処理に関するローカルのセキュリティーポリシーに応じて halt、、syslog singleまたはを設定する必要があります。
  • flush 設定パラメーターは sync またはに設定する必要があり dataます。このパラメーターにより、すべての Audit イベントデータがディスクのログファイルと完全に同期されます。
残りの設定オプションは、ローカルのセキュリティーポリシーに合わせて設定します。