検索
サポートコンソール開発者トライアルの開始お問い合わせ

17.2. オペレーティングシステム (RHCS の外部) のログ設定

download PDF

17.2.1. OS レベルの監査ログの有効化

警告
以下のセクションではすべての操作は、sudo で root または特権ユーザーとして実行する必要があります。
auditd ロギングフレームワークは、多くの監査機能を追加で提供します。これらの OS レベル監査ログは、Certificate System が提供する機能を補完します。本セクションの手順を実行する前に、audit パッケージがインストールされていることを確認してください。 
# sudo yum install audit
システムパッケージの更新 (yum および rpm を使用し、Certificate System を含む) の監査は自動的に実行され、追加の設定は必要ありません。
注記
各監査ルールを追加して auditd サービスを再起動したら、以下のコマンドを実行して新しいルールが追加されたことを確認します。 
# auditctl -l
新しいルールの内容が出力に表示されるはずです。
作成された監査ログの 表示方法は、『Red Hat Certificate System 管理ガイドのオペレーティングシステムレベルの監査』ログの表示セクションを参照してください

17.2.1.1. 証明書システムの監査ログ削除の監査

監査ログが削除されたときの監査イベントを受信するには、ターゲットが Certificate System ログであるシステムコールを監査する必要があります。
以下の内容で /etc/audit/rules.d/rhcs-audit-log-deletion.rules ファイルを作成します。 
-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion
-a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
次に auditd を再起動します。 
# service auditd restart

17.2.1.2. 秘密鍵の使用が承認されていない Certificate System の監査

Certificate System の秘密または秘密鍵へのすべてのアクセスに対する監査イベントを受け取るには、NSS DB へのファイルシステムアクセスを監査する必要があります。
以下の内容で /etc/audit/rules.d/rhcs-audit-nssdb-access.rules ファイルを作成します。 
-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb
<instance name> は、現在のインスタンスの名前です。/etc/pki/<instance name>/alias の各ファイルの /etc/audit/rules.d/rhcs-audit-nssdb-access.rules に、以下の行を追加します。 
-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb
たとえば、インスタンス名が pki-ca121318ec で、cert8.dbkey3.dbNHSM6000-OCScert8.dbNHSM6000-OCSkey3.db、および secmod.db がファイルである場合、設定ファイルには次のものが含まれます。 
-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/cert8.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/key3.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCScert8.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCSkey3.db -p warx -k rhcs_audit_nssdb
-w /etc/pki/pki-ca121318ec/alias/secmod.db -p warx -k rhcs_audit_nssdb
次に auditd を再起動します。 
# service auditd restart

17.2.1.3. 時間変更イベントの監査

時間変更の監査イベントを受信するには、システム時間を変更する可能性のあるシステムコールアクセスを監査する必要があります。
以下の内容で /etc/audit/rules.d/rhcs-audit-rhcs_audit_time_change.rules ファイルを作成します。 
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change
-a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change
-a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change
-w /etc/localtime -p wa -k rhcs_audit_time_change
次に auditd を再起動します。 
# service auditd restart
時間の設定方法は、『Red Hat Certificate System 管理ガイド』のRed Hat Enterprise Linux 7 での日時の設定を参照してください。

17.2.1.4. 証明書システム設定へのアクセスの監査

Certificate System インスタンス設定ファイルへのすべての変更に関する監査イベントを受け取るには、これらのファイルのファイルシステムアクセスを監査します。
以下の内容で /etc/audit/rules.d/rhcs-audit-config-access.rules ファイルを作成します。 
-w /etc/pki/instance_name/server.xml -p wax -k rhcs_audit_config
また、/etc/pki/instance_name/ ディレクトリーの各サブシステムに次の内容を追加します。 
-w /etc/pki/instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config

例17.1 rhcs-audit-config-access.rules 設定ファイル

たとえば、インスタンス名が pki-ca121318ec で、CA のみがインストールされている場合に、/etc/audit/rules.d/rhcs-audit-config-access.rules ファイルには以下が含まれます。 
-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config
-w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config
PKI NSS データベースへのアクセスは rhcs_audit_nssdb の下にすでに監査されていることに注意してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.