RACにaudit_trailを実装する2 -Oracle新人奮闘記-2

<RACにAuditを実装する2 -Oracle新人奮闘記->
ペンネーム: world famous beagle

先週、初めてAuditに触れた印旛くん。
今週は、運用方法を考えます。
データベース監査は、決まった方法があるわけではなく、個々のデータベース
環境にあった運用をしなければなりません。
Auditの運用は、印旛くんにはかなり難しいようです。
印旛くんの考えた方法も参考にしていただければと思います。

それでは、今週も早速スタート。
———————————————————————-
まず、重要な情報へのアクセスを監査するために、オブジェクト監査を使って、
重要な情報が格納されているテーブルにAuditをつけたけど、ログを見てみると、
わかりやすいのはOracleのユーザ名とOSのユーザ名がわかることかな。
ただ、これはクライアントサーバ環境じゃないと意味がないよね。
もしクライアントとDBサーバの間にWebサーバがあるような、3階層の環境なら、
Webサーバのユーザ名がとれるだけで、クライアントの情報はとれないもんね。
それでいいんだろうか?

「あの、岸田さん。Auditのログを見るとOracleとOSのユーザ名が取れるんで
すけど、これは3階層のシステムだと取れてもあまり意味がなくなる気がする
んですけど」
「そうだね」
「あ、やっぱりそうですか」
「3階層まではとりあえず考えなくていい
DBに直接アクセスしてくるユーザで不正アクセスがあったかどうかが、
わかればいいから」
「なるほど。じゃあ、内部犯行で情報漏えいなどがあった場合を考えればいい
ですね?」
「まあ、そうだね」
「じゃあ、今日は運用方法を考えてみます」
「うん、早くやって」

よし、Auditの実装から運用までの流れをまず考えよう。
今回は、顧客情報、従業員情報のような重要な情報が格納されているテーブル
にAuditをはるオブジェクト監査を実装する。

運用は、どうすればいいかな。
毎日ログがたまる一方だと、いくらOS上にファイル出力していても、その内デ
ィスクが一杯になっちゃうしな。
圧縮してバックアップファイルにしたいよね。

ってことは、RMANを実装した時
(参照:Oracle新人のRACインストール その19
http://www.insight-tec.com/mailmagazine/ora3/vol310.html)
みたいに、
cronにシェルスクリプトを登録して、
定期的にファイルを圧縮してバックアップを取ればいいかな。
どうやってやるんだっけ・・・。
手順的には・・・

1.cronで毎月月初めにシェルスクリプトを実行する
2.audit_logディレクトリ内の作成から
30日以上経過したAUDファイルをtarで固める
3.tarファイルをbzip2で圧縮
4.AUDファイルを削除
5.bzip2ファイルを/tmpにmove

こんな感じかな。
それじゃ、スクリプトを考えよう。

うーーーん。こんな感じかな・・・。
実行してみてと。
お、いけそうだね!

よし、これでいけそうだ!
Auditの実装手順をまとめてみよう。

----------------------------------------------------------------------
Audit実装手順
1.Auditのログを格納するディレクトリを作成する
        例: $ mkdir /home/oracle/audit_log

2.バックアップ用シェルスクリプトを作成する
        $ cd /home/oracle/audit_log
        $ vi audit_bk.sh
        ###audit_bk.sh###
        find /home/oracle/audit_log/ -name '*.aud' -mtime +30
                -exec tar cvf audit_bk`date +%y%m%d`.tar {} ;
        bzip2 /home/oracle/audit_log/*.tar ;
        find /home/oracle/audit_log/ -name '*.aud' -exec rm -Rf {} ;
        find /home/oracle/audit_log/ -name '*.bz2' -exec mv {} /tmp ;

3.cronに登録する(毎月、月初めの午前1時30分にaudit_bk.shを起動する)
        user: root
        # crontab -e
        30 1 1 * * su - oracle -c "/home/oracle/audit_log/audit_bk.sh"

4.初期化パラメータの変更
        SQL> alter system set audit_trail=OS scope=spfile;
        SQL> alter system set 
                audit_file_dest=/home/oracle/audit_log scope=spfile;

5.DBを再起動する
        $ srvctl stop database -d 
        $ srvctl start database -d 

6.Auditを実装する
        例:  SQL> audit select on ;
              監査が成功しました
----------------------------------------------------------------------

「岸田さん、Auditの実装手順をつくってみたんですが・・・」
「見せて」
「あの、いろいろ考えてみてわかったんですけど、
Auditを実装しようとした場合、まず監査をする対象、というか目的を決める
必要がありますよね?何を監査するために、Auditを実装しますみたいな」
「そうだね」
「それで、その目的にあったAuditを実装して、実装したAuditにあう運用方法
を考えなければいけないと思います」
「うん、それで」
「それで、一応スクリプトと運用方法の手順は作ったんですが、
これを実装するわけにはいかないと思います」
「例えば、何を考える必要があるの?」
「あ、はい。一応考えなければいけないことをまとめてみました」

■SYSの監査ができない
・オブジェクト監査を実装してもSYSユーザのログは出力されない
→SYS_OPERATION_AUDIT=TRUEにすることで、
SYSユーザが監査されます

■DBに負荷をかける
・パフォーマンステストをする必要がある
・AUD$表に監査情報を格納する場合、SYSTEM表領域を使用するので、
注意が必要

■OSファイルに書き出す場合の、AUDファイルのセキュリティ問題
・AUDファイルを書き換えることが容易なため、
ファイルのセキュリティ管理の方法を考える必要がある

■ログファイルを見ることが簡単ではない
・長期間溜まったログの中から、必要箇所を見つけるのが困難である

「段階的に、DB監査を実装する場合のファーストステップとしては、Oracleの
機能をつかうんだから、コストもかからないし、いいとは思います。
ただ、Auditを実装するにあたって一番重要なことは、監査をする目的であっ
たり、対象を明確にすることだと思います」
「まあ、そうだね」
「僕が作ったスクリプトだと、内部犯行で重要な情報にアクセスした、ユーザ
情報が取得できますけど、ファイルのセキュリティや、パフォーマンスにどれ
だけインパクトがあるかどうかは、テストしてみないとわかりません」
「じゃあ、やってみて」
「はい」

DB監査はかなりいろんなことを考える必要があるんだなぁ。
Auditの機能を実装するにも、まず監査する目的をはっきりさせないとね。

もっとDBセキュリティを学ぶ必要があるな。
こつこつと積み重ねていくしかない!

印旛くんは、Auditをマスターすべく、
そしてDBセキュリティを深く掘り下げる修行に出ることになりました。

近いうちにまたお会いできますように・・・。