Show Table of Contents
5.3.1. セキュアな環境用の
5.3. audit サービスの設定
The Audit daemon can be configured in the
/etc/audit/auditd.conf configuration file. This file consists of configuration parameters that modify the behavior of the Audit daemon. Empty lines and text following a hash sign (#) are ignored. A complete listing of all configuration parameters and their explanation can be found in the audit.conf(5) man page.
5.3.1. セキュアな環境用の auditd 設定
デフォルトの
auditd 設定はほとんどの環境に適しているはずですが、使用環境が厳密なセキュリティーポリシーに対応する必要がある場合には、Audit デーモンの設定には、以下の設定が推奨されます。
- Audit ログファイルを格納するディレクトリー (通常
/var/log/audit/) を、別個のパーティションに置きます。これにより、他のプロセスがこのディレクトリーのスペースを使うことを防ぎます。また、Audit デーモン用に残りのスペースがどれだけあるか、正確に分かるようになります。 - 単一 Audit ログファイルの最大サイズを指定する
max_log_fileパラメーターは、Audit ログファイルを格納するパーティション上で利用可能なスペースを最大活用するように設定する必要があります。 max_log_file_actionパラメーターは、max_log_fileで設定された上限に達した際に取られるアクションを決定します。これは、keep_logsに設定して、Audit ログファイルが上書きされないようにすべきです。space_leftパラメーターは、ここで指定した値にディスク上の残りの空きスペースが達すると、space_left_actionパラメーターで定義したアクションが起動します。space_left で指定するディスクの残り空きスペースの値は大きなものに設定し、これがなくなる前に管理者が対応してスペースを利用可能にできるようにすべきです。space_leftの値は、Audit ログファイルが生成されるレートによって異なります。space_left_actionパラメーターは、emailまたはexecに設定して適切な通知方法にすることが推奨されます。admin_space_leftパラメーターは、ここで指定した値にディスク上の残りの空きスペースが達すると、admin_space_left_actionパラメーターで定義したアクションが起動します。admin_space_left の値は大きなものに設定し、管理者が実行するアクションをログ記録できるようにする必要があります。admin_space_left_actionはsingleに設定して、システムをシングルユーザーモードにし、管理者がディスクスペースを解放できるようにする必要があります。disk_full_actionパラメーターは、Audit ログファイルを格納するパーティションに空きスペースが無くなった場合に起動するアクションを指定します。このパラメーターは、haltまたはsingleのどちらかに設定する必要があります。これにより、Audit がイベントをログ記録できなくなった際に、システムがシャットダウンするか、シングルユーザーモードで稼働するようになります。disk_error_actionは、Audit ログファイルがあるパーティションでエラーが検出された場合に起動するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーによって、syslog、single、haltのいずれかに設定する必要があります。flush設定パラメーターは、incremental_asyncに設定してください。ハードドライブと強制同期する前にディスクに送信できる記録数を決めるfreqパラメーターと合わせて機能します。freqパラメーターは、100に設定してください。これらのパラメーターにより、アクティビティーが集中した場合に高いパフォーマンスを保ちつつ、Audit イベントデータがディスク上のログファイルと確実に同期されるようにします。
残りの設定オプションは、ローカルのセキュリティーポリシーにあわせて設定します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.