5.3. audit サービスの設定

The Audit daemon can be configured in the /etc/audit/auditd.conf configuration file. This file consists of configuration parameters that modify the behavior of the Audit daemon. Empty lines and text following a hash sign (#) are ignored. A complete listing of all configuration parameters and their explanation can be found in the audit.conf(5) man page.

5.3.1. セキュアな環境用の auditd 設定

デフォルトの auditd 設定はほとんどの環境に適しているはずですが、使用環境が厳密なセキュリティーポリシーに対応する必要がある場合には、Audit デーモンの設定には、以下の設定が推奨されます。
  • Audit ログファイルを格納するディレクトリー (通常 /var/log/audit/) を、別個のパーティションに置きます。これにより、他のプロセスがこのディレクトリーのスペースを使うことを防ぎます。また、Audit デーモン用に残りのスペースがどれだけあるか、正確に分かるようになります。
  • 単一 Audit ログファイルの最大サイズを指定する max_log_file パラメーターは、Audit ログファイルを格納するパーティション上で利用可能なスペースを最大活用するように設定する必要があります。
  • max_log_file_action パラメーターは、max_log_file で設定された上限に達した際に取られるアクションを決定します。これは、keep_logs に設定して、Audit ログファイルが上書きされないようにすべきです。
  • space_left パラメーターは、ここで指定した値にディスク上の残りの空きスペースが達すると、space_left_action パラメーターで定義したアクションが起動します。space_left で指定するディスクの残り空きスペースの値は大きなものに設定し、これがなくなる前に管理者が対応してスペースを利用可能にできるようにすべきです。space_left の値は、Audit ログファイルが生成されるレートによって異なります。
  • space_left_action パラメーターは、email または exec に設定して適切な通知方法にすることが推奨されます。
  • admin_space_left パラメーターは、ここで指定した値にディスク上の残りの空きスペースが達すると、admin_space_left_action パラメーターで定義したアクションが起動します。admin_space_left の値は大きなものに設定し、管理者が実行するアクションをログ記録できるようにする必要があります。
  • admin_space_left_actionsingle に設定して、システムをシングルユーザーモードにし、管理者がディスクスペースを解放できるようにする必要があります。
  • disk_full_action パラメーターは、Audit ログファイルを格納するパーティションに空きスペースが無くなった場合に起動するアクションを指定します。このパラメーターは、halt または single のどちらかに設定する必要があります。これにより、Audit がイベントをログ記録できなくなった際に、システムがシャットダウンするか、シングルユーザーモードで稼働するようになります。
  • disk_error_action は、Audit ログファイルがあるパーティションでエラーが検出された場合に起動するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーによって、syslogsinglehalt のいずれかに設定する必要があります。
  • flush 設定パラメーターは、incremental_async に設定してください。ハードドライブと強制同期する前にディスクに送信できる記録数を決める freq パラメーターと合わせて機能します。freq パラメーターは、100 に設定してください。これらのパラメーターにより、アクティビティーが集中した場合に高いパフォーマンスを保ちつつ、Audit イベントデータがディスク上のログファイルと確実に同期されるようにします。
残りの設定オプションは、ローカルのセキュリティーポリシーにあわせて設定します。