Show Table of Contents
6.3.1. セキュアな環境用の
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
6.3. audit サービスの設定
Audit デーモンは、
/etc/audit/auditd.conf
ファイルに設定できます。このファイルは、Audit デーモンの挙動を修正する設定パラメーターから構成されます。空の行とハッシュ記号 (#
) に続くテキストは無視されます。詳細は、man ページの auditd.conf(5) を参照してください。
6.3.1. セキュアな環境用の auditd
設定
デフォルトの
auditd
設定は多くの環境に適している必要がありますが、環境が、厳格なセキュリティーポリシーに対応する必要がある場合は、/etc/audit/auditd.conf
ファイルの Audit デーモン設定に対して以下の設定が推奨されます。
- log_file
- 各マウントポイントには、Audit ログファイル (通常
/var/log/audit/
) を保持するディレクトリーが必要になります。これにより、このディレクトリーの領域をその他のプロセスが使用しないようにし、Audit デーモンの残りのスペースの正確な検出を提供します。 - max_log_file
- 1 つの Audit ログファイルの最大サイズを指定します。Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。
- max_log_file_action
max_log_file
に設定した制限に達すると発生するアクションを指定します。Audit ログファイルが上書きされないないようにするには、keep_logs
に設定する必要があります。- space_left
space_left_action
パラメーターに設定したアクションを発生させる、ディスクの空き領域サイズを指定します。この制限に達したときに管理者が十分対応できるだけの時間を設定する必要があります。space_left
値は、Audit ログファイルが生成される速度によって異なります。- space_left_action
space_left_action
パラメーターは、email
またはexec
など、適切な通知方法に設定することが推奨されます。- admin_space_left
admin_space_left_action
パラメーターに設定したアクションが発生するディスクの空き領域の最小サイズ。管理者が実行するアクションのログを記録するのに十分なサイズを残す必要があります。- admin_space_left_action
single
を、システムをシングルユーザーモードにし、監理者がディスク領域を解放できるようにします。- disk_full_action
- Audit ログファイルを保持するパーティションで空き領域がない場合に発生するアクションを指定します。
halt
またはsingle
に設定する必要があります。このように設定すると、Audit がイベントをログに記録できなくなると、システムはシャットダウンまたはシングルユーザーモードで動作します。 - disk_error_action
- Audit ログファイルがあるパーティションでエラーが検出された場合に発生するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーによって、
syslog
、single
、halt
のいずれかに設定する必要があります。 - flush
incremental_async
に設定してください。ハードドライブと強制同期する前にディスクに送信できる記録数を決めるfreq
パラメーターと合わせて機能します。freq
パラメーターは、100
に設定してください。これらのパラメーターにより、アクティビティーが集中した場合に高いパフォーマンスを保ちつつ、Audit イベントデータがディスク上のログファイルと確実に同期されるようにします。
残りの設定オプションは、ローカルのセキュリティーポリシーにあわせて設定します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。