7.3. audit サービスの設定

Audit デーモンは、/etc/audit/auditd.conf 設定ファイルで設定できます。このファイルは、Audit デーモンの動作を修正する設定パラメーターで構成されています。空の行やハッシュ記号 (#) の後に続くテキストは無視されます。設定パラメーターの全一覧とそれらの説明は、audit.conf(5) man ページで確認できます。

7.3.1. CAPP 環境用の auditd 設定

デフォルトの auditd 設定は、ほとんどの環境で適切なものです。ただし、使用中の環境が、Common Criteria 認証の一部である Controlled Access Protection Profile (CAPP) で設定された基準に適合する必要がある場合は、以下のように Audit デーモンを設定する必要があります。
  • Audit ログファイルを格納するディレクトリー (通常 /var/log/audit/) を、別個のパーティションに置きます。これにより、他のプロセスがこのディレクトリーのスペースを使うことを防ぎます。また、Audit デーモン用に残りのスペースがどれだけあるか、正確に分かるようになります。
  • 単一 Audit ログファイルの最大サイズを指定する max_log_file パラメーターは、Audit ログファイルを格納するパーティション上で利用可能なスペースを最大活用するように設定する必要があります。
  • max_log_file_action パラメーターは、max_log_file で設定された上限に達した際に取られるアクションを決定します。これは、keep_logs に設定して、Audit ログファイルが上書きされないようにすべきです。
  • space_left パラメーターは、ここで指定した値にディスク上の残りの空きスペースが達すると、space_left_action パラメーターで定義したアクションが起動します。space_left で指定するディスクの残り空きスペースの値は大きなものに設定し、これがなくなる前に管理者が対応してスペースを利用可能にできるようにすべきです。space_left の値は、Audit ログファイルが生成されるレートによって異なります。
  • space_left_action パラメーターは、email または exec に設定して適切な通知方法にすることが推奨されます。
  • admin_space_left パラメーターは、ここで指定した値にディスク上の残りの空きスペースが達すると、admin_space_left_action パラメーターで定義したアクションが起動します。admin_space_left の値は大きなものに設定し、管理者が実行するアクションをログ記録できるようにする必要があります。
  • admin_space_left_actionsingle に設定して、システムをシングルユーザーモードにし、管理者がディスクスペースを解放できるようにする必要があります。
  • disk_full_action パラメーターは、Audit ログファイルを格納するパーティションに空きスペースが無くなった場合に起動するアクションを指定します。このパラメーターは、halt または single のどちらかに設定する必要があります。これにより、Audit がイベントをログ記録できなくなった際に、システムがシャットダウンするか、シングルユーザーモードで稼働するようになります。
  • disk_error_action は、Audit ログファイルがあるパーティションでエラーが検出された場合に起動するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティポリシーによって、syslogsinglehalt のいずれかに設定する必要があります。
  • flush 設定パラメーターは、sync または data に設定します。これにより、すべての Audit イベントデータがディスク上のログファイルと完全に同期されます。
残りの設定オプションは、ローカルのセキュリティポリシーにあわせて設定します。