第5章 AuditVerify (監査ログ検証)
AuditVerify ツールは、署名された監査ログが秘密鍵で署名され、監査ログが侵害されていないことを確認するために使用されます。
監査担当者は、AuditVerify ツールを使用して、署名済み監査ログの信頼性を検証できます。このツールは、署名された監査ログ署名証明書の公開鍵を使用して、署名済み監査ログファイルに埋め込まれたデジタル署名を検証します。ツールの応答は、署名された監査ログが正常に検証されたか、署名済み監査ログが正常に検証されなかったことを示します。検証に失敗すると、署名が検証に失敗したことを監査者に警告します。これは、ログファイルが で改ざんされている可能性があることを示します(侵害)。
5.1. Auditor のデータベースの設定
AuditVerify は、署名された監査ログ署名証明書とそのチェーンを含む一連のセキュリティーデータベース(通常は監査者の個人セキュリティーデータベース)にアクセスする必要があります。発行チェーンの CA 証明書の 1 つは、データベースで信頼できるものとしてマークする必要があります。
監査担当者は、AuditVerify を実行する前に、監査署名証明書を個人証明書およびキーデータベースにインポートする必要があります。監査人は、署名済み監査ログファイルを生成した Certificate System インスタンスのセキュリティーデータベースを使用しないでください。簡単にアクセス可能な証明書およびキーデータベースがない場合、監査担当者は証明書およびキーデータベースのセットを作成し、署名された監査ログ署名証明書チェーンをインポートする必要があります。
注記
サブシステムが保持する
signedAudit ディレクトリーは、監査人を含め、どのユーザーがも書き込み可能ではありません。
重要
auditor ユーザーは以下のいずれかのメンバーである必要があります。
pkiauditグループ。/etc/pki/default.cfgファイルの[DEFAULT]セクションの下にあるpki_audit_group変数のデフォルト値です。pkispawnユーティリティーを実行してサブシステムを作成するときにpki_audit_group変数を上書きして、監査グループとして識別されたシステムグループ。
セキュリティーデータベースを作成し、証明書チェーンをインポートするには、以下を実行します。
- 検証の実行に使用する auditor のホームディレクトリーに特別なディレクトリーを作成します。以下に例を示します。
mkdir ~jsmith/auditVerifyDir
- certutil ツールを使用して、監査者のホームディレクトリーに空の証明書データベースのセットを作成します。
certutil -d ~jsmith/auditVerifyDir -N
- CA の Retrieval ページから CA 証明書をダウンロードします。
https://server.example.com:ca_https_port/ca/ee/ca/
- CA 証明書をインポートし、署名証明書をデータベースにログインし、CA 証明書を信頼済みとしてマークします。証明書は ASCII 形式で CA から取得できます。CA 証明書が cacert.txt という名前のファイルにあり、ログ署名証明書が logsigncert.txt という名前のファイルにある場合、certutil を使用して、これらのファイルを参照する新しい監査セキュリティーデータベースディレクトリーの信頼を設定します。
certutil -d ~jsmith/auditVerifyDir/ -A -n "CA Certificate" -t "CT,CT,CT" -a -i /var/lib/instance_ID/alias/cacert.txt certutil -d ~jsmith/auditVerifyDir -A -n "Log Signing Certificate"-t ",,P" -a -i /var/lib/instance_ID/alias/logsigncert.txt
