LinuCレベル3 300試験の例題と解説
393.2Linuxファイルシステムと共有/サービスのパーミッション
LinuCレベル3 300試験の出題範囲から「393.2 Linuxファイルシステムと共有/サービスのパーミッション」についての例題を解いてみます。
このテーマは【重要度 3】です。今回はSambaの監査などに使える知識に関する問題です。
例題
Samba経由でのファイルの削除操作を、ログに記録するための設定を選択してください。
- full_audit:success = unlink
- full_audit:failure = connect
- full_audit:prefix = %T|%U|%I
- full_audit:facility = local1
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「1.full_audit:success = unlink」です。
Sambaには、vfs objects(Virtual File System Object)と呼ばれる拡張機能があります。vfs_objectsは、Sambaが提供する仮想ファイルシステムに機能を追加できます。
例えば次のような機能です。
recycle | : | 削除されたファイルを保持し、リサイクルビンのように復元する機能 |
audit | : | 特定のファイル操作をログ出力する機能 |
full_audit | : | 全てのファイル操作ログを出力する機能 |
acl_xattr | : | 拡張属性を使用したアクセス制御機能 |
今回は、この中でfull_auditを題材にしています。full_auditは、ファイル操作に関するログを柔軟に設定できるのが特徴です。例えば次のように設定を行います。
[data]
path = /data
(省略)
vfs objects = full_audit
full_audit:facility = local1
full_audit:prefix = %T|%U|%I
full_audit:success = mkdir rmdir create_file unlink rename
full_audit:failure = none
「vfs objects = full_audit」のパラメータで、full_auditの機能を有効化します。次の行の「full_audit:」のプレフィックスから始まるパラメータは、full_auditの設定項目です。
「full_audit:facility」は、ログをSyslogに出力するためのSyslogファシティです。
「full_audit:prefix」は、ログ出力時に先頭に追加されるプレフィックスです。
%Tなどのプレースホルダは、次の意味を持っています。
%T | : | 操作した時間 |
%U | : | ユーザID |
%I | : | 接続元IPアドレス |
次の「full_audit:success」と「full_audit:failure」は、ログに出力する操作を設定するパラメータです。
successは操作成功時、failureは操作失敗時のログを表します。設定の値には、出力対象の操作を指定します。上記の設定では、ディレクトリの作成と削除、ファイルの作成と削除、移動の成功をログ出力対象としています。失敗時はnoneを指定して、ログ出力を行っていません。
この設定の場合、次のようなログが生成されます。
2023/04/03 09:15:30|user01|192.168.100.137|data|unlink|ok|docs/file1.txt
なおSyslogに出力した場合、Syslog側で時間やプロセス情報が先頭に追加されますが、その点は省略してSambaが生成するログのみを記載しています。
このようにfull_auditの設定を活用することで、Samba経由でのファイル操作の記録を取ることができます。セキュリティレベルの向上の施策としてはもちろんのこと、ファイルの紛失時の捜索など、日常的な運用でも役にたちます。
上記でパラメータの解説をしていますが、不正解のパラメータの解説をまとめておきます。
2.full_audit:failure = connect
「full_audit:failure」は、失敗した操作を記録するためのパラメータですが、connectは接続操作であり、削除操作ではないため不正解です。
3.full_audit:prefix = %T|%U|%I
「full_audit:prefix」は、ログメッセージの先頭に特定のプレフィックスを追加するためのパラメータです。この設定は、Sambaが提供する各種情報をログに出力するためのもので、削除操作のログ記録には関係ありません。
4.full_audit:facility = local1
「full_audit:facility」は、syslogのファシリティ(ログの重要度)を指定するためのパラメータです。この設定は、ログの出力先を指定するもので、削除操作のログ記録には関係ありません。
例題作成者
株式会社デージーネット OSS研究室 森 彰吾