17.2. オペレーティングシステム (RHCS の外部) のログ設定
17.2.1. OS レベルの監査ログの有効化
警告
以下のセクションではすべての操作は、sudo で root または特権ユーザーとして実行する必要があります。
auditd
ロギングフレームワークは、多くの監査機能を追加で提供します。これらの OS レベル監査ログは、Certificate System が提供する機能を補完します。本セクションの手順を実行する前に、audit
パッケージがインストールされていることを確認してください。
#
sudo yum install audit
システムパッケージの更新 (
yum
および rpm
を使用し、Certificate System を含む) の監査は自動的に実行され、追加の設定は必要ありません。
注記
各監査ルールを追加して auditd サービスを再起動したら、以下のコマンドを実行して新しいルールが追加されたことを確認します。
# auditctl -l
新しいルールの内容が出力に表示されるはずです。
17.2.1.1. 証明書システムの監査ログ削除の監査
監査ログが削除されたときの監査イベントを受信するには、ターゲットが Certificate System ログであるシステムコールを監査する必要があります。
以下の内容で
/etc/audit/rules.d/rhcs-audit-log-deletion.rules
ファイルを作成します。
-a always,exit -F arch=b32 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b32 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S unlink -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S rename -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S rmdir -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S unlinkat -F dir=/var/log/pki -F key=rhcs_audit_deletion -a always,exit -F arch=b64 -S renameat -F dir=/var/log/pki -F key=rhcs_audit_deletion
次に
auditd
を再起動します。
#
service auditd restart
17.2.1.2. 秘密鍵の使用が承認されていない Certificate System の監査
Certificate System の秘密または秘密鍵へのすべてのアクセスに対する監査イベントを受け取るには、NSS DB へのファイルシステムアクセスを監査する必要があります。
以下の内容で
/etc/audit/rules.d/rhcs-audit-nssdb-access.rules
ファイルを作成します。
-w /etc/pki/<instance name>/alias -p warx -k rhcs_audit_nssdb
<instance name> は、現在のインスタンスの名前です。
/etc/pki/<instance name>/alias
の各ファイルの /etc/audit/rules.d/rhcs-audit-nssdb-access.rules
に、以下の行を追加します。
-w /etc/pki/<instance name>/alias/<file> -p warx -k rhcs_audit_nssdb
たとえば、インスタンス名が
pki-ca121318ec
で、cert8.db
、key3.db
、NHSM6000-OCScert8.db
、NHSM6000-OCSkey3.db
、および secmod.db
がファイルである場合、設定ファイルには次のものが含まれます。
-w /etc/pki/pki-ca121318ec/alias -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/cert8.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/key3.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCScert8.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/NHSM6000-OCSkey3.db -p warx -k rhcs_audit_nssdb -w /etc/pki/pki-ca121318ec/alias/secmod.db -p warx -k rhcs_audit_nssdb
次に
auditd
を再起動します。
#
service auditd restart
17.2.1.3. 時間変更イベントの監査
時間変更の監査イベントを受信するには、システム時間を変更する可能性のあるシステムコールアクセスを監査する必要があります。
以下の内容で
/etc/audit/rules.d/rhcs-audit-rhcs_audit_time_change.rules
ファイルを作成します。
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=rhcs_audit_time_change -a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=rhcs_audit_time_change -a always,exit -F arch=b32 -S clock_adjtime -F key=rhcs_audit_time_change -a always,exit -F arch=b64 -S clock_adjtime -F key=rhcs_audit_time_change -w /etc/localtime -p wa -k rhcs_audit_time_change
次に
auditd
を再起動します。
#
service auditd restart
時間の設定方法は、『Red Hat Certificate System 管理ガイド』の『Red Hat Enterprise Linux 7 での日時の設定』を参照してください。
17.2.1.4. 証明書システム設定へのアクセスの監査
Certificate System インスタンス設定ファイルへのすべての変更に関する監査イベントを受け取るには、これらのファイルのファイルシステムアクセスを監査します。
以下の内容で
/etc/audit/rules.d/rhcs-audit-config-access.rules
ファイルを作成します。
-w /etc/pki/instance_name/server.xml -p wax -k rhcs_audit_config
また、
/etc/pki/instance_name/
ディレクトリーの各サブシステムに次の内容を追加します。
-w /etc/pki/instance_name/subsystem/CS.cfg -p wax -k rhcs_audit_config
例17.1 rhcs-audit-config-access.rules 設定ファイル
たとえば、インスタンス名が pki-ca121318ec で、CA のみがインストールされている場合に、
/etc/audit/rules.d/rhcs-audit-config-access.rules
ファイルには以下が含まれます。
-w /etc/pki/pki-ca121318ec/server.xml -p wax -k rhcs_audit_config -w /etc/pki/pki-ca121318ec/ca/CS.cfg -p wax -k rhcs_audit_config
PKI NSS データベースへのアクセスは rhcs_audit_nssdb の下にすでに監査されていることに注意してください。