ホーム
製品
Red Hat Enterprise Linux
6
セキュリティーガイド
7.5.2. ファイルでの永続監査ルールおよび制御の /etc/audit/audit.rules 定義

7.5.2. ファイルでの永続監査ルールおよび制御の /etc/audit/audit.rules 定義

再起動後も持続する Audit ルールを定義するには、/etc/audit/audit.rules ファイルに含める必要があります。このファイルは、同じ auditctl コマンドライン構文を使用してルールを指定します。空の行やハッシュ記号(#)の後に続くテキストは無視されます。

また、auditctl コマンドは、-R オプションを使用して、指定したファイルからルールを読み込むために使用することもできます。以下に例を示します。

auditctl -R /usr/share/doc/audit-version/stig.rules

~]# auditctl -R /usr/share/doc/audit-version/stig.rules

Copy to Clipboard

Toggle word wrap

コントロールルールの定義

ファイルには、Audit システムの動作を変更する以下の制御ルール（、-b、、-D -e -f、および）のみを含めることができます -r。これらのオプションの詳細は、を参照してください「コントロールルールの定義」。

例7.3 の制御ルール audit.rules

# Delete all previous rules
-D

# Set buffer size
-b 8192

# Make the configuration immutable -- reboot is required to change audit rules
-e 2

# Panic when a failure occurs
-f 2

# Generate at most 100 audit messages per second
-r 100

# Delete all previous rules
-D

# Set buffer size
-b 8192

# Make the configuration immutable -- reboot is required to change audit rules
-e 2

# Panic when a failure occurs
-f 2

# Generate at most 100 audit messages per second
-r 100

Copy to Clipboard

Toggle word wrap

ファイルシステムおよびシステムコールルールの定義

ファイルシステムおよびシステムコールルールは、auditctl 構文を使用して定義されます。の例は、以下のルールファイルで表示「auditctl ユーティリティーを使用した Audit ルールの定義」できます。

例7.4 のファイルシステムおよびシステムコールルール audit.rules

-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux/ -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux/ -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

Copy to Clipboard

Toggle word wrap

事前設定されたルールファイル

/usr/share/doc/audit-version/ ディレクトリーでは、audit パッケージは、さまざまな証明書規格に従って、事前設定されたルールファイルのセットを提供します。

nispom.rules - National Industrial Security Program Operating Manual の第 8 章で指定されている要件を満たす監査ルール設定
capp.rules : Common Criteria 証明書に含まれる Controlled Access Protection Profile (CAPP)によって設定されている要件を満たす監査ルール設定。
lspp.rules : Common Criteria 証明書に含まれる Labeled Security Protection Profile (LSPP)で設定されている要件を満たす監査ルール設定。
stig.rules : セキュリティー技術実装ガイド(STIG)で設定されている要件を満たす監査ルール設定。

これらの設定ファイルを使用するには、元の /etc/audit/audit.rules ファイルのバックアップを作成し、任意の設定ファイルを /etc/audit/audit.rules ファイルにコピーします。

cp /etc/audit/audit.rules /etc/audit/audit.rules_backup
cp /usr/share/doc/audit-version/stig.rules /etc/audit/audit.rules

~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup
~]# cp /usr/share/doc/audit-version/stig.rules /etc/audit/audit.rules

Copy to Clipboard

Toggle word wrap

7.5.2. ファイルでの永続監査ルールおよび制御の /etc/audit/audit.rules 定義

コントロールルールの定義

ファイルシステムおよびシステムコールルールの定義

事前設定されたルールファイル

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links