macOSでセキュリティ監査を有効にする

コード

CIS macOS 10.15 Benchmarkの3.1にセキュリティ監査機能を有効にするという項目があります。

今回はその方法を整理していきます。

機能のチェックと有効可

auditdは監査ログのサービスです。

まずはこの機能が有効になっているかどうかを確認します。

~/code/cis# sudo launchctl list | grep -i auditd
Password: 
185 0 com.apple.auditd

有効になっていると、このような表示になります。

なにも表示がないと無効ということです。

無効になっていて、有効にしたい場合は、

launchctl load -w /System/Library/LaunchDaemons/com.apple.auditd.plist

を実行すると有効になります。

Jamfを使って自動で監査ログ機能のチェックと有効化を行いたいときのコードを書いたので、掲載しておきます。

GitHub - samuraidays/enable-security-auditd: Enable Security Auditd
Enable Security Auditd. Contribute to samuraidays/enable-security-auditd development by creating an account on GitHub.

監査ログ機能の設定

監査ログ機能の設定は/etc/security/audit_controlになります。

~/code/cis# sudo cat /etc/security/audit_control
Password:
#
# $P4: //depot/projects/trustedbsd/openbsm/etc/audit_control#8 $
#
dir:/var/audit
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
superuser-set-sflags-mask:has_authenticated,has_console_access
superuser-clear-sflags-mask:has_authenticated,has_console_access
member-set-sflags-mask:
member-clear-sflags-mask:has_authenticated

CIS macOS 10.15 Benchmarkの3.3には監査ログの保持に関する設定がありますが、それはここから設定します。これについてはまた別の記事で説明しますね。

監査ログの閲覧

監査ログは/var/auduitディレクトリの配下に保存されています。

catコマンドなどでは表示させることができず、prauditコマンドを使用します。

:audit root# praudit -r /var/audit/current
20,158,11,45029,0,1591059851,709
40,launchd::Audit recovery
35,/var/audit/20200527022434.crash_recovery
39,0,0
237,1,com.apple.xpc.launchd,complete,,complete,0xf892866471763ab958ad9f1c218182d1bea4ce32
19,158
20,113,11,45000,0,1591059851,709
40,launchd::Audit startup
39,0,0

が、しかし、ログの読み方がいまいちわかりませんw

prauditコマンドやauditdに関する情報はなぜか、ものすごく少なく、prauditコマンドを調査するにもかなり時間がかかりました。それこそ、日本語情報はゼロに近いです。

このあたりは今後、もう少し深堀りしていきたいところです。

コメント

  1. […] macOSでセキュリティ監査を有効にする […]

タイトルとURLをコピーしました