Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.3. audit サービスの設定

Audit デーモンは、/etc/audit/auditd.conf ファイルで設定できます。このファイルは、Audit デーモンの動作を変更する設定パラメーターで設定されています。ハッシュ記号(#)に続く空の行とテキストは無視されます。詳細は、auditd.conf(5) の man ページをご覧ください。

7.3.1. セキュアな環境への auditd の設定

デフォルトの auditd 設定は、ほとんどの環境に適しています。ただし、環境が厳格なセキュリティーポリシーを満たす必要がある場合は、/etc/audit/auditd.conf ファイル内の Audit デーモン設定に次の設定が推奨されます。
log_file
Audit ログファイル(通常は /var/log/audit/)を保持するディレクトリーは、別のマウントポイントに存在する必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。
max_log_file
1 つの Audit ログファイルの最大サイズを指定します。これは、Audit ログファイルを保持するパーティションで利用可能な領域を完全に使用するように設定する必要があります。
max_log_file パラメーターは、最大ファイルサイズをメガバイトで指定します。指定する値は、数値にする必要があります。
max_log_file_action
max_log_file に設定された制限に達すると実行するアクションを決定します。Audit ログファイルが上書きされないように keep_logs に設定する必要があります。
space_left
space_left_action パラメーターに設定したアクションがトリガーされるディスクに残っている空き領域の量を指定します。管理者は、ディスクの領域を反映して解放するのに十分な時間を設定する必要があります。space_left の値は、Audit ログファイルが生成される速度によって異なります。
space_left の値が整数として指定される場合、絶対サイズ(MiB)として解釈されます。値が 1 から 99 までの数字とそれに続くパーセンテージ記号(5% など)として指定される場合、監査デーモンは log_file を含むファイルシステムのサイズに基づいて絶対サイズをメガバイト単位で計算します。
space_left_action
適切な通知方法を使用して、space_left_action パラメーターを email または exec に設定することが推奨されます。
admin_space_left
admin_space_left_action パラメーターに設定されたアクションがトリガーされる空き領域の絶対最小量を指定します。これは、管理者が実行するアクションをログに記録するのに十分な領域を残す値に設定する必要があります。
このパラメーターの数値は、space_left の数字よりも小さくする必要があります。また、数値にパーセント記号を追加 (1% など) して、Audit デーモンが、ディスクパーティションサイズに基づいて、数値を計算するようにすることもできます。
admin_space_left_action
single に設定してシステムをシングルユーザーモードにし、管理者がディスク領域を解放できるようにします。
disk_full_action
Audit ログファイルを保持するパーティションに空き領域がない場合に発生するアクションを指定します。halt または single に設定する必要があります。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。
disk_error_action
Audit ログファイルを保持するパーティションでエラーが検出された場合に発生するアクションを指定します。ハードウェアの誤作動処理に関するローカルセキュリティーポリシーに応じて、syslogsingle、または halt に設定する必要があります。
flush
incremental_async に設定する必要があります。これは freq パラメーターと組み合わせて機能し、ハードドライブとのハード同期を強制する前にディスクに送信できるレコードの数を決定します。freq パラメーターは 100 に設定する必要があります。このパラメーターにより、アクティビティーが集中した際に高いパフォーマンスを保ちつつ、Audit イベントデータがディスクのログファイルと確実に同期されるようになります。
残りの設定オプションは、ローカルのセキュリティーポリシーに合わせて設定します。