Audit フレームワーク - 版の履歴

Kgx: トラブルシューティングを翻訳して追加

2024-01-19T08:02:41Z

トラブルシューティングを翻訳して追加

← 古い版		2024年1月19日 (金) 17:02時点における版
8行目:		8行目:
	audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。		audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。

	{{Note\|1=audit フレームワークとコンテナとの互換性は Linux 3.15 で修正されました。[https://bugzilla.redhat.com/show_bug.cgi?id=893751] を参照してください。ただし、ネームスペースID のサポートがまだ進行中であるため、audit レコードの解釈が難しい場合があります。[https://github.com/linux-audit/audit-kernel/issues/32] を参照してください。}}		{{Note\|1=audit フレームワークとコンテナとの互換性は Linux 3.15 で修正されました。[https://bugzilla.redhat.com/show_bug.cgi?id=893751] を参照してください。ただし、ネームスペース ID のサポートがまだ進行中であるため、audit レコードの解釈が難しい場合があります。[https://github.com/linux-audit/audit-kernel/issues/32] を参照してください。}}

	== インストール ==		== インストール ==

	カーネルによる audit サポートは、{{Pkg\|linux}}(4.18以降)、{{Pkg\|linux-lts}}(4.19以降)、{{Pkg\|linux-zen}}(4.18以降)、および {{Pkg\|linux-hardened}} で利用できます。カスタムカーネルの場合、{{ic\|CONFIG_AUDIT}} を有効にする必要があります。カーネルパラメータとして {{ic\|1=audit=1}} を設定すると、ブート時に監査を有効にできます。		カーネルによる audit サポートは、{{Pkg\|linux}}(4.18以降)、{{Pkg\|linux-lts}}(4.19以降)、{{Pkg\|linux-zen}}(4.18以降)、および {{Pkg\|linux-hardened}} で利用できます。カスタムカーネルの場合、{{ic\|CONFIG_AUDIT}} を有効にする必要があります。カーネルパラメータとして {{ic\|1=audit=1}} を設定すると、ブート時に auditd を有効にできます。

	ユーザースペースのサポートについては、{{Pkg\|audit}} を [[インストール]]し、{{ic\|auditd.service}} を[[起動]]・[[有効化]]します。		ユーザースペースのサポートについては、{{Pkg\|audit}} を [[インストール]]し、{{ic\|auditd.service}} を[[起動]]・[[有効化]]します。
18行目:		18行目:
	{{Note\|audit を完全に無効にし、audit メッセージがジャーナルに表示されないようにするには、[[カーネルパラメータ]] として {{ic\|1=audit=0}} を設定と、{{ic\|systemd-journald-audit.socket}} を [[マスク]] のどちらか(または両方)を実行します。}}		{{Note\|audit を完全に無効にし、audit メッセージがジャーナルに表示されないようにするには、[[カーネルパラメータ]] として {{ic\|1=audit=0}} を設定と、{{ic\|systemd-journald-audit.socket}} を [[マスク]] のどちらか(または両方)を実行します。}}

	audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。		audit フレームワークは auditd デーモンから設定されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。

	このデーモンはいくつかのコマンドとファイルにより制御されます:		このデーモンはいくつかのコマンドとファイルにより制御されます:
72行目:		72行目:
	=== 不要なメッセージをフィルタリングする ===		=== 不要なメッセージをフィルタリングする ===

	ノイズの多い監査メッセージがシステムログに溢れないようにするために、一部の監査メッセージを除外するルールを追加できます:		ノイズの多い auditd メッセージがシステムログに溢れないようにするために、一部の auditd メッセージを除外するルールを追加できます:

	{{hc\|/etc/audit/rules.d/quiet.rules\|2=		{{hc\|/etc/audit/rules.d/quiet.rules\|2=
120行目:		120行目:
	aureport を使ってカスタムレポートを生成することもできます。{{man\|8\|aureport}} を参照してください。		aureport を使ってカスタムレポートを生成することもできます。{{man\|8\|aureport}} を参照してください。

	==どのファイル・システムコールを監査すべきか?==		== どのファイル・システムコールを監査すべきか? ==

	ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。		ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。

	粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は {{man\|8\|auditctl}} の man ページは読む価値があります。		粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は {{man\|8\|auditctl}} の man ページは読む価値があります。

	==他のホストからのログを収集する==		== 他のホストからのログを収集する ==

	audit フレームワークはプラグインシステムを備えており、それによりローカルのログファイルをリモートの auditd に送ることができます。		audit フレームワークはプラグインシステムを備えており、それによりローカルのログファイルをリモートの auditd に送ることができます。

163行目:		165行目:
	== ログローテート ==		== ログローテート ==

	{{ic\|SIGUSR1}} を監査デーモンに送信します。		{{ic\|SIGUSR1}} を auditd デーモンに送信します。

	# pkill -USR1 -x auditd		# pkill -USR1 -x auditd

			== トラブルシューティング ==

			=== auditd のログが仮想コンソールに流入する ===

			Auditd を有効にしていないユーザーの場合、{{ic\|1=loglevel=4}} より高いカーネルデバッグメッセージを使用すると、仮想端末上にセキュリティ通知がフラッディングされる可能性があります。

			これらのメッセージは {{ic\|auditd.service}} を [[有効化]] することで沈黙させることができます。

			代替ソリューションは次のとおりです:

			* ログレベルを下げる
			* [[カーネルパラメータ]] {{ic\|1=audit=0}} を使用して auditd ログを無効にします。

			詳細については、[https://github.com/systemd/systemd/issues/15324 GitHub の systemd issue 15324] を参照してください。

Kgx: ログローテートを翻訳して追加

2024-01-19T07:52:14Z

ログローテートを翻訳して追加

← 古い版		2024年1月19日 (金) 16:52時点における版
2行目:		2行目:
	[[Category:ロギング]]		[[Category:ロギング]]
	[[en:Audit framework]]		[[en:Audit framework]]
	Linux の audit フレームワークは CAPP ([[Wikipedia:Controlled Access Protection Profile\|Controlled Access Protection Profile]]) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。		Linux の audit フレームワークは CAPP ([[Wikipedia:Controlled Access Protection Profile\|Controlled Access Protection Profile]]) に準拠した監査システムであり、システム上のセキュリティに関係した(または無関係な)イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。

	Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。		Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。
10行目:		10行目:
	{{Note\|1=audit フレームワークとコンテナとの互換性は Linux 3.15 で修正されました。[https://bugzilla.redhat.com/show_bug.cgi?id=893751] を参照してください。ただし、ネームスペースID のサポートがまだ進行中であるため、audit レコードの解釈が難しい場合があります。[https://github.com/linux-audit/audit-kernel/issues/32] を参照してください。}}		{{Note\|1=audit フレームワークとコンテナとの互換性は Linux 3.15 で修正されました。[https://bugzilla.redhat.com/show_bug.cgi?id=893751] を参照してください。ただし、ネームスペースID のサポートがまだ進行中であるため、audit レコードの解釈が難しい場合があります。[https://github.com/linux-audit/audit-kernel/issues/32] を参照してください。}}

	==インストール==		== インストール ==

	カーネルによる audit サポートは、{{Pkg\|linux}}（4.18以降）、{{Pkg\|linux-lts}}（4.19以降）、{{Pkg\|linux-zen}}（4.18以降）、および {{Pkg\|linux-hardened}} で利用できます。カスタムカーネルの場合、{{ic\|CONFIG_AUDIT}} を有効にする必要があります。カーネルパラメータとして {{ic\|1=audit=1}} を設定すると、ブート時に監査を有効にできます。		カーネルによる audit サポートは、{{Pkg\|linux}}(4.18以降)、{{Pkg\|linux-lts}}(4.19以降)、{{Pkg\|linux-zen}}(4.18以降)、および {{Pkg\|linux-hardened}} で利用できます。カスタムカーネルの場合、{{ic\|CONFIG_AUDIT}} を有効にする必要があります。カーネルパラメータとして {{ic\|1=audit=1}} を設定すると、ブート時に監査を有効にできます。

	ユーザースペースのサポートについては、{{Pkg\|audit}} を [[インストール]]し、{{ic\|auditd.service}} を[[起動]]・[[有効化]]します。		ユーザースペースのサポートについては、{{Pkg\|audit}} を [[インストール]]し、{{ic\|auditd.service}} を[[起動]]・[[有効化]]します。
85行目:		86行目:
	# augenrules --load		# augenrules --load

	==ログを検索する==		== ログを検索する ==

	audit フレームワークにはシステム上で発生したイベントを調べるためのツールがいくつか含まれています。		audit フレームワークにはシステム上で発生したイベントを調べるためのツールがいくつか含まれています。

	===PID を指定する===		=== PID を指定する ===

	特定の PID に関係するイベントを検索するには {{ic\|ausearch}} を使います:		特定の PID に関係するイベントを検索するには {{ic\|ausearch}} を使います:

95行目:		98行目:
	このコマンドを実行すると、ルールに応じて記録されたイベントの中から PID 1 (systemd) に関係するものすべてを表示します。		このコマンドを実行すると、ルールに応じて記録されたイベントの中から PID 1 (systemd) に関係するものすべてを表示します。

	===キーの使い方===		=== キーの使い方 ===

	イベントを管理するためにキーを使うことが推奨されます。		イベントを管理するためにキーを使うことが推奨されます。

106行目:		110行目:
	# ausearch -k KEY_pwd		# ausearch -k KEY_pwd

	===異常を探す===		=== 異常を探す ===

	{{ic\|aureport}} を使うと異常なイベントの発生を素早く報告させることができます。異常なイベントとは、ネットワークインターフェイスがプロミスキャスモードに設定された、プロセスまたはスレッドが ENOMEM エラーで異常終了した、などです。		{{ic\|aureport}} を使うと異常なイベントの発生を素早く報告させることができます。異常なイベントとは、ネットワークインターフェイスがプロミスキャスモードに設定された、プロセスまたはスレッドが ENOMEM エラーで異常終了した、などです。

115行目:		120行目:
	aureport を使ってカスタムレポートを生成することもできます。{{man\|8\|aureport}} を参照してください。		aureport を使ってカスタムレポートを生成することもできます。{{man\|8\|aureport}} を参照してください。

	==どのファイル・システムコールを監査すべきか？==		==どのファイル・システムコールを監査すべきか?==
	ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。		ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。

124行目:		129行目:

	=== ログファイルを送信する ===		=== ログファイルを送信する ===

	ログファイルをリモートホストに送るには、{{ic\|audisp-remote}} プラグインが必要です。これは {{Pkg\|audit}} パッケージにより自動的にインストールされます。このパッケージを有効にするには:		ログファイルをリモートホストに送るには、{{ic\|audisp-remote}} プラグインが必要です。これは {{Pkg\|audit}} パッケージにより自動的にインストールされます。このパッケージを有効にするには:
	{{hc\|head=/etc/audisp/plugins.d/au-remote.conf\|output=		{{hc\|head=/etc/audisp/plugins.d/au-remote.conf\|output=
133行目:		139行目:
	}}		}}

	そしてログの送り先になるリモートホストを設定します：		そしてログの送り先になるリモートホストを設定します:

	{{hc\|head=/etc/audisp/audisp-remote.conf\|output=		{{hc\|head=/etc/audisp/audisp-remote.conf\|output=
143行目:		149行目:

	=== ログファイルを受け取る ===		=== ログファイルを受け取る ===

	リモートの audispds からのメッセージを受信できるようにするには、tcp オプションをセットするだけです:		リモートの audispds からのメッセージを受信できるようにするには、tcp オプションをセットするだけです:
	{{hc\|head=/etc/audit/auditd.conf\|output=		{{hc\|head=/etc/audit/auditd.conf\|output=
153行目:		160行目:

	これで設定した'''全部の'''ホストのログが受信する auditd のログファイルに書き込まれるようになります。		これで設定した'''全部の'''ホストのログが受信する auditd のログファイルに書き込まれるようになります。

			== ログローテート ==

			{{ic\|SIGUSR1}} を監査デーモンに送信します。

			# pkill -USR1 -x auditd

Kgx: /* ルールの追加 */ 不要なメッセージをフィルタリングするを翻訳して追加

2024-01-19T07:48:47Z

ルールの追加: 不要なメッセージをフィルタリングするを翻訳して追加

← 古い版		2024年1月19日 (金) 16:48時点における版
28行目:		28行目:
	* {{ic\|/etc/audit/auditd.conf}} : ログに関する設定ファイルです		* {{ic\|/etc/audit/auditd.conf}} : ログに関する設定ファイルです

	==ルールの追加==		== ルールの追加 ==

	ルールを追加する前に注意しなければならないのは、audit フレームワークは非常に饒舌で、ルールを実際に運用する前に注意深くテストする必要があることです。実際、たった1つのルールにより2,3分でログを溢れてしまうこともあり得ます。		ルールを追加する前に注意しなければならないのは、audit フレームワークは非常に饒舌で、ルールを実際に運用する前に注意深くテストする必要があることです。実際、たった1つのルールにより2,3分でログを溢れてしまうこともあり得ます。

	===ファイルとディレクトリへのアクセスを監査する===		=== ファイルとディレクトリへのアクセスを監査する ===

	audit フレームワークの一番簡単な使い方は、特定のファイルへのアクセスをログに記録することです。それには {{ic\|-w}} オプションを使います。一番簡単なルールの例として passwd ファイルへのアクセスを追跡する例:		audit フレームワークの一番簡単な使い方は、特定のファイルへのアクセスをログに記録することです。それには {{ic\|-w}} オプションを使います。一番簡単なルールの例として passwd ファイルへのアクセスを追跡する例:

55行目:		57行目:
	-w /etc/security/		-w /etc/security/

	===システムコールを監査する===		=== システムコールを監査する ===

	{{ic\|-a}} オプションをつけると、システムコール呼び出しを監査できます。		{{ic\|-a}} オプションをつけると、システムコール呼び出しを監査できます。

62行目:		65行目:
	auditctl -a entry,always -S chmod		auditctl -a entry,always -S chmod

	全てのシステムコールのリスト: {{man\|2\|syscalls}}。		全てのシステムコールのリスト: {{man\|2\|syscalls}}

	たくさんのルールと方法が考えられます。{{man\|8\|auditctl}} と {{man\|7\|audit.rules}} を参照してください。		たくさんのルールと方法が考えられます。{{man\|8\|auditctl}} と {{man\|7\|audit.rules}} を参照してください。

			=== 不要なメッセージをフィルタリングする ===

			ノイズの多い監査メッセージがシステムログに溢れないようにするために、一部の監査メッセージを除外するルールを追加できます:

			{{hc\|/etc/audit/rules.d/quiet.rules\|2=
			-A exclude,always -F msgtype=SERVICE_START
			-A exclude,always -F msgtype=SERVICE_STOP
			-A exclude,always -F msgtype=BPF
			-A exclude,always -F exe=/usr/bin/sudo
			}}

			次のように変更を確認し (必要に応じて修正)、{{ic\|/etc/audit/audit.rules}} を再生成することを忘れないでください:

			# augenrules --check
			# augenrules --load

	==ログを検索する==		==ログを検索する==

Kusanaginoturugi: 序文のNoteを英語版 2019-01-02T18:18:15 から訳出

2020-05-21T09:01:15Z

序文のNoteを英語版 2019-01-02T18:18:15 から訳出

← 古い版		2020年5月21日 (木) 18:01時点における版
8行目:		8行目:
	audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。		audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。

			{{Note\|1=audit フレームワークとコンテナとの互換性は Linux 3.15 で修正されました。[https://bugzilla.redhat.com/show_bug.cgi?id=893751] を参照してください。ただし、ネームスペースID のサポートがまだ進行中であるため、audit レコードの解釈が難しい場合があります。[https://github.com/linux-audit/audit-kernel/issues/32] を参照してください。}}
	{{Note\|
	* Linux 3.12 の時点では、audit フレームワークは名前空間の実装と互換性がありません。名前空間を使っている場合は audit フレームワークを使わないでください。
	* audit フレームワークはシステムのパフォーマンスに影響を与える可能性があります。}}

	==インストール==		==インストール==

Kusanaginoturugi: /* インストール */ 英語版 2019-01-02T18:18:15 より訳出。and/or ってどう訳したらええんや？

2020-05-21T08:52:29Z

インストール: 英語版 2019-01-02T18:18:15 より訳出。and/or ってどう訳したらええんや？

← 古い版		2020年5月21日 (木) 17:52時点における版
13行目:		13行目:

	==インストール==		==インストール==
			カーネルによる audit サポートは、{{Pkg\|linux}}（4.18以降）、{{Pkg\|linux-lts}}（4.19以降）、{{Pkg\|linux-zen}}（4.18以降）、および {{Pkg\|linux-hardened}} で利用できます。カスタムカーネルの場合、{{ic\|CONFIG_AUDIT}} を有効にする必要があります。カーネルパラメータとして {{ic\|1=audit=1}} を設定すると、ブート時に監査を有効にできます。
	{{ic\|CONFIG_AUDIT}} を有効にしたカスタムカーネルをインストールします。もしくは {{Pkg\|linux-hardened}} パッケージをインストールして[[カーネルパラメータ]]に {{ic\|1=audit=1}} を追加してください。

	{{Pkg\|audit}} をインストールし、 {{ic\|auditd.service}} を[[起動]]・[[有効化]]します。		ユーザースペースのサポートについては、{{Pkg\|audit}} を [[インストール]]し、{{ic\|auditd.service}} を[[起動]]・[[有効化]]します。

	{{Note\|~~{{Pkg\|linux-hardened}}~~ パッケージは~~デフォルトで~~[[カーネルパラメータ]]として {{ic\|1=audit=0}} を設定~~するため~~、{{ic\|~~/usr/lib/~~systemd~~/system/auditd~~.~~service~~}} の ~~{{ic\|1=ConditionKernelCommandLine=!audit=0}}~~ ~~設定と衝突~~します。~~上書きするために {{ic\|auditd.service~~}} ~~設定を以下のように編集してください:~~		{{Note\|audit を完全に無効にし、audit メッセージがジャーナルに表示されないようにするには、[[カーネルパラメータ]] として {{ic\|1=audit=0}} を設定と、{{ic\|systemd-journald-audit.socket}} を [[マスク]] のどちらか(または両方)を実行します。}}

	# systemctl edit auditd.service

	編集内容:

	{{hc\|head=/etc/systemd/system/auditd.service.d/override.conf\|output=
	[Unit]
	ConditionKernelCommandLine=
	ConditionKernelCommandLine=audit=1
	}}
	}}

	audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。		audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。

Kusakata: カテゴリ追加

2019-02-21T14:51:21Z

カテゴリ追加

← 古い版		2019年2月21日 (木) 23:51時点における版
1行目:		1行目:
	[[Category:セキュリティ]]		[[Category:セキュリティ]]
			[[Category:ロギング]]
	[[en:Audit framework]]		[[en:Audit framework]]
	Linux の audit フレームワークは CAPP ([[Wikipedia:Controlled Access Protection Profile\|Controlled Access Protection Profile]]) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。		Linux の audit フレームワークは CAPP ([[Wikipedia:Controlled Access Protection Profile\|Controlled Access Protection Profile]]) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。

Kusakata: 同期

2018-06-02T14:15:10Z

同期

← 古い版		2018年6月2日 (土) 23:15時点における版
1行目:		1行目:
	[[Category:セキュリティ]]		[[Category:セキュリティ]]
	[[en:Audit framework]]		[[en:Audit framework]]
	Linux の audit フレームワークは CAPP (Controlled Access Protection ~~Profiles~~) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。		Linux の audit フレームワークは CAPP ([[Wikipedia:Controlled Access Protection Profile\|Controlled Access Protection Profile]]) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。

	Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。		Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。
12行目:		12行目:

	==インストール==		==インストール==
	CONFIG_AUDIT を有効にしたカスタムカーネルをインストールします。{{Pkg\|~~audit~~}} をインストールし、次を実行し~~ます:~~		{{ic\|CONFIG_AUDIT}} を有効にしたカスタムカーネルをインストールします。もしくは {{Pkg\|linux-hardened}} パッケージをインストールして[[カーネルパラメータ]]に {{ic\|1=audit=1}} を追加してください。

⚫	# systemctl ~~enable~~ auditd.service
			{{Pkg\|audit}} をインストールし、 {{ic\|auditd.service}} を[[起動]]・[[有効化]]します。
	# systemctl start auditd.service

			{{Note\|{{Pkg\|linux-hardened}} パッケージはデフォルトで[[カーネルパラメータ]]として {{ic\|1=audit=0}} を設定するため、{{ic\|/usr/lib/systemd/system/auditd.service}} の {{ic\|1=ConditionKernelCommandLine=!audit=0}} 設定と衝突します。上書きするために {{ic\|auditd.service}} 設定を以下のように編集してください:

		⚫	# systemctl edit auditd.service

			編集内容:

			{{hc\|head=/etc/systemd/system/auditd.service.d/override.conf\|output=
			[Unit]
			ConditionKernelCommandLine=
			ConditionKernelCommandLine=audit=1
			}}
			}}

	audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。		audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。
61行目:		74行目:
	auditctl -a entry,always -S chmod		auditctl -a entry,always -S chmod

	全てのシステムコールのリスト~~を見るには~~: {{~~ic\|~~man syscalls}}。		全てのシステムコールのリスト: {{man\|2\|syscalls}}。

	たくさんのルールと方法が考えられます。{{~~ic\|~~man auditctl}} と {{~~ic\|~~man audit.rules}} を参照してください。		たくさんのルールと方法が考えられます。{{man\|8\|auditctl}} と {{man\|7\|audit.rules}} を参照してください。

	==ログを検索する==		==ログを検索する==
93行目:		106行目:
	# aureport -n		# aureport -n

	aureport を使ってカスタムレポートを生成することもできます。{{~~ic\|~~man aureport}} を参照してください。		aureport を使ってカスタムレポートを生成することもできます。{{man\|8\|aureport}} を参照してください。

	==どのファイル・システムコールを監査すべきか？==		==どのファイル・システムコールを監査すべきか？==
	ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。		ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。

	粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は auditctl の man ページは読む価値があります。		粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は {{man\|8\|auditctl}} の man ページは読む価値があります。

	==他のホストからのログを収集する==		==他のホストからのログを収集する==

Kusakata: style fix

2016-01-26T11:09:14Z

style fix

← 古い版		2016年1月26日 (火) 20:09時点における版
1行目:		1行目:
	[[Category:セキュリティ]]		[[Category:セキュリティ]]
	[[en:Audit framework]]		[[en:Audit framework]]
	Linux の audit フレームワークは CAPP (Controlled Access Protection Profiles) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。これを使うことにより、システム上で行われた動作を追跡できるようになります。		Linux の audit フレームワークは CAPP (Controlled Access Protection Profiles) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。audit を使うことにより、システム上で行われた動作を追跡できるようになります。

	Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。		Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。
7行目:		7行目:
	audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。		audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。

			{{Note\|
	~~{{Note\|~~Linux 3.12の時点では、audit フレームワークは名前空間の実装と互換性がありません。名前空間を使っている場合は audit フレームワークを使わないでください。}}		* Linux 3.12 の時点では、audit フレームワークは名前空間の実装と互換性がありません。名前空間を使っている場合は audit フレームワークを使わないでください。
	~~{{Note\|~~システムのパフォーマンスに影響を与える可能性があります。}}		* audit フレームワークはシステムのパフォーマンスに影響を与える可能性があります。}}

	==インストール==		==インストール==
	CONFIG_AUDIT を有効にしたカスタムカーネルをインストールします。		CONFIG_AUDIT を有効にしたカスタムカーネルをインストールします。{{Pkg\|audit}} をインストールし、次を実行します:
	{{Pkg\|audit}} をインストールし、次を実行します:
	# systemctl enable auditd.service		# systemctl enable auditd.service
	# systemctl start auditd.service		# systemctl start auditd.service
20行目:		20行目:
	このデーモンはいくつかのコマンドとファイルにより制御されます:		このデーモンはいくつかのコマンドとファイルにより制御されます:
	* auditctl : その場でデーモンの挙動をコントロールします。ルールを追加するなど		* auditctl : その場でデーモンの挙動をコントロールします。ルールを追加するなど
	* /etc/audit/audit.rules : ルールや auditd のパラメータを記述します		* {{ic\|/etc/audit/audit.rules}} : ルールや auditd のパラメータを記述します
	* aureport : システムの動作レポートを生成します		* aureport : システムの動作レポートを生成します
	* ausearch : イベントを検索します		* ausearch : イベントを検索します
	* auditspd : イベント通知をディスク上のログに書き込む代わりに他のアプリケーションに中継するデーモンです		* auditspd : イベント通知をディスク上のログに書き込む代わりに他のアプリケーションに中継するデーモンです
	* autrace : プロセスをトレースするためのコマンド。straceに似ています		* autrace : プロセスをトレースするためのコマンド。straceに似ています
	* /etc/audit/auditd.conf : ログに関する設定ファイルです		* {{ic\|/etc/audit/auditd.conf}} : ログに関する設定ファイルです

	==ルールの追加==		==ルールの追加==
31行目:		31行目:

	===ファイルとディレクトリへのアクセスを監査する===		===ファイルとディレクトリへのアクセスを監査する===
	audit フレームワークの一番簡単な使い方は、特定のファイルへのアクセスをログに記録することです。		audit フレームワークの一番簡単な使い方は、特定のファイルへのアクセスをログに記録することです。それには {{ic\|-w}} オプションを使います。一番簡単なルールの例として passwd ファイルへのアクセスを追跡する例:
	それには {{ic\|-w}} オプションを使います。
	一番簡単なルールの例として passwd ファイルへのアクセスを追跡する:

	# auditctl -w /etc/passwd -p rwxa		# auditctl -w /etc/passwd -p rwxa
41行目:		39行目:
	# auditctl -w /etc/security/		# auditctl -w /etc/security/

	最初のルールは {{ic\|/etc/passwd}} への読み込み {{ic\|r}}、書き込み {{ic\|w}}、実行 {{ic\|x}}、属性変更 {{ic\|a}} を追跡します。		最初のルールは {{ic\|/etc/passwd}} への読み込み {{ic\|r}}、書き込み {{ic\|w}}、実行 {{ic\|x}}、属性変更 {{ic\|a}} を追跡します。2番目のルールは {{ic\|/etc/security/}} への全てのアクセスを追跡します。
	2番目のルールは {{ic\|/etc/security/}} への全てのアクセスを追跡します。

	有効なルールのリストを表示するには:		有効なルールのリストを表示するには:
60行目:		57行目:
	{{ic\|-a}} オプションをつけると、システムコール呼び出しを監査できます。		{{ic\|-a}} オプションをつけると、システムコール呼び出しを監査できます。

	セキュリティに関連したルールの例として、{{ic\|chmod システムコール}} を追跡し、ファイル所有権の変更を検出します:		セキュリティに関連したルールの例として、{{ic\|chmod システムコール}} を追跡し、ファイル所有権の変更を検出する例:

	auditctl -a entry,always -S chmod		auditctl -a entry,always -S chmod

	全てのシステムコールのリストを見るには: man syscalls		全てのシステムコールのリストを見るには: {{ic\|man syscalls}}。

	たくさんのルールと方法が考えられます。man auditctl と man audit.rules を参照してください。		たくさんのルールと方法が考えられます。{{ic\|man auditctl}} と {{ic\|man audit.rules}} を参照してください。

	==ログを検索する==		==ログを検索する==
	audit フレームワークにはシステム上で発生したイベントを調べるためのツールがいくつか含まれています。		audit フレームワークにはシステム上で発生したイベントを調べるためのツールがいくつか含まれています。

	===PIDを指定する===		===PID を指定する===
	特定の PID に関係するイベントを検索するには {{ic\|ausearch}} を使います:		特定の PID に関係するイベントを検索するには {{ic\|ausearch}} を使います:

96行目:		93行目:
	# aureport -n		# aureport -n

	aureport を使ってカスタムレポートを生成することもできます。man aureport を参照してください。		aureport を使ってカスタムレポートを生成することもできます。{{ic\|man aureport}} を参照してください。

	==どのファイル・システムコールを監査すべきか？==		==どのファイル・システムコールを監査すべきか？==
	ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。		ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。
	基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。
	逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。

	粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は auditctl の man ページは読む価値があります。		粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は auditctl の man ページは読む価値があります。

Kusakata: Kusakata がページ「Auditフレームワーク」を「Audit フレームワーク」に、リダイレクトを残さずに移動しました

2016-01-26T11:04:30Z

Kusakata がページ「Auditフレームワーク」を「Audit フレームワーク」に、リダイレクトを残さずに移動しました

← 古い版		2016年1月26日 (火) 20:04時点における版
(相違点なし)

Aosho235: 翻訳完了

2016-01-24T07:41:39Z

翻訳完了

← 古い版		2016年1月24日 (日) 16:41時点における版
3行目:		3行目:
	Linux の audit フレームワークは CAPP (Controlled Access Protection Profiles) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。これを使うことにより、システム上で行われた動作を追跡できるようになります。		Linux の audit フレームワークは CAPP (Controlled Access Protection Profiles) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。これを使うことにより、システム上で行われた動作を追跡できるようになります。

			Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。
	Linux audit helps make your system more secure by providing you with a means to analyze what is happening on your system in great detail. It does not, however, provide additional security itself—it does not protect your system from code malfunctions or any kind of exploits. Instead, Audit is useful for tracking these issues and helps you take additional security measures, to prevent them.

	audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。		audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。
58行目:		58行目:

	===システムコールを監査する===		===システムコールを監査する===
			{{ic\|-a}} オプションをつけると、システムコール呼び出しを監査できます。
	The audit framework allow you to audit the syscalls performed with the {{ic\|-a}} option.

			セキュリティに関連したルールの例として、{{ic\|chmod システムコール}} を追跡し、ファイル所有権の変更を検出します:
	A security related rule is to track the {{ic\|chmod syscall}}, to detect file ownership changes :

	auditctl -a entry,always -S chmod		auditctl -a entry,always -S chmod

			全てのシステムコールのリストを見るには: man syscalls
	For a list of all syscalls : man syscalls

	~~A lot of rules and posibilities are available, see~~ man auditctl ~~and~~ man audit.rules		たくさんのルールと方法が考えられます。man auditctl と man audit.rules を参照してください。

	==ログを検索する==		==ログを検索する==
90行目:		90行目:

	===異常を探す===		===異常を探す===
			{{ic\|aureport}} を使うと異常なイベントの発生を素早く報告させることができます。異常なイベントとは、ネットワークインターフェイスがプロミスキャスモードに設定された、プロセスまたはスレッドが ENOMEM エラーで異常終了した、などです。
	The {{ic\|aureport}} tool can be used to quicly report any anormal event performed on the system, it include network interface used in promiscous mode, process or thread crashing or exiting with ENOMEM error etc.

	~~The easiest way to use~~ {{ic\|aureport}} is :		{{ic\|aureport}} の一番簡単な使い方は :

	# aureport -n		# aureport -n

			aureport を使ってカスタムレポートを生成することもできます。man aureport を参照してください。
	aureport can be used to generate custom report, see man aureport.

	==どのファイル・システムコールを監査すべきか？==		==どのファイル・システムコールを監査すべきか？==
			ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。
	Keep in mind that each audit rule added will generate logs, so you must be ready to treat this amount of information.
			基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。
	Basically, each security-related event/file must be monitored, like ids, ips, anti-rootkits etc.
			逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。
	On the other side, it's totally useless to track every write syscall, the smallest compilation will fill your logs with this event.

			粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は auditctl の man ページは読む価値があります。
	More complex set of rules can be set up, performing auditing on a very fine-grained base. If you want to do so, the man pages of auditctl are worth-reading.

	==他のホストからのログを収集する==		==他のホストからのログを収集する==
			audit フレームワークはプラグインシステムを備えており、それによりローカルのログファイルをリモートの auditd に送ることができます。
	The audit framework has an plugin system which provides the possibility to send local logfiles to an remote auditd.

	=== ログファイルを送信する ===		=== ログファイルを送信する ===
			ログファイルをリモートホストに送るには、{{ic\|audisp-remote}} プラグインが必要です。これは {{Pkg\|audit}} パッケージにより自動的にインストールされます。このパッケージを有効にするには:
	To send your logfiles to an remote host you need the {{ic\|audisp-remote}} plugin which comes automatically with the {{Pkg\|audit}} package.
	Activate the plugin:
	{{hc\|head=/etc/audisp/plugins.d/au-remote.conf\|output=		{{hc\|head=/etc/audisp/plugins.d/au-remote.conf\|output=
	active = yes		active = yes
119行目:		118行目:
	}}		}}

			そしてログの送り先になるリモートホストを設定します：
	and set the remote host where the logs should be send to:

	{{hc\|head=/etc/audisp/audisp-remote.conf\|output=		{{hc\|head=/etc/audisp/audisp-remote.conf\|output=
129行目:		128行目:

	=== ログファイルを受け取る ===		=== ログファイルを受け取る ===
			リモートの audispds からのメッセージを受信できるようにするには、tcp オプションをセットするだけです:
	To make audit listen for remote audispds you just need to set the tcp options:
	{{hc\|head=/etc/audit/auditd.conf\|output=		{{hc\|head=/etc/audit/auditd.conf\|output=
	tcp_listen_port = 60		tcp_listen_port = 60
	tcp_listen_queue = 5		tcp_listen_queue = 5
	tcp_max_per_addr = 1		tcp_max_per_addr = 1
	##tcp_client_ports = 1024-65535 #~~optional~~		##tcp_client_ports = 1024-65535 #任意
	tcp_client_max_idle = 0		tcp_client_max_idle = 0
	}}		}}

			これで設定した'''全部の'''ホストのログが受信する auditd のログファイルに書き込まれるようになります。
	Now you can view the logs of '''all''' configured hosts in the logfiles of the recieving auditd.