監査ログ ルートの暗号化

監査ログ レコードは暗号化できます。 暗号化機能を使用すると、selogrd デーモンは、監査ログ レコードを暗号化してから収集デーモン(selogrcd または監査ログ ルータ)に送信します。 次に、収集デーモンは受信したレコードを復号化します。
cminder12901jp
監査ログ レコードは暗号化できます。 暗号化機能を使用すると、selogrd デーモンは、監査ログ レコードを暗号化してから収集デーモン(selogrcd または監査ログ ルータ)に送信します。 次に、収集デーモンは受信したレコードを復号化します。
CA ControlMinder では、CA ControlMinder の標準暗号化および adcipher による監査ログ暗号化という 2 種類の暗号化形式が、selogrd に対して提供されています。 暗号化では、seos.ini ファイルの[selogrd]セクションで指定されている共有ライブラリ オブジェクトの関数が使用されます。
標準暗号化では共有ライブラリ libcrypt が使用されますが、監査の暗号化では CipherName トークンに指定されているファイルの関数が使用されます。 デフォルトでは、このファイル名は adcipher です。これは、目的の共有ライブラリへのシンボリック リンクです。 CA ControlMinder のインストール時に、4 つの共有ライブラリ(lib1des、lib3des、libIDEA、および libblowfish)が CA ControlMinder/lib ディレクトリに配置されます。
CA ControlMinder は標準暗号化鍵を共有ライブラリに保持しますが、監査の暗号化では、KeyFile トークンに指定された別のファイル(デフォルト値は adcipher.bin)が使用されます。
暗号化のタイプを決定するには、UseEncryption トークンを使用します。
  • CA ControlMinder の標準暗号化を使用するには、「UseEncryption=native」を指定します。
  • adcipher による監査ログ暗号化を使用するには、UseEncryption=eTrust を指定し、CipherName トークンおよび KeyFile トークンに適切な値を入力します。
  • selogrd の暗号化を無効にするには、UseEncryption=no を指定します。
暗号化されていない監査を受け入れまたは拒否するには、RefuseUnencrypted トークンを使用します。 このトークンは UseEncryption トークンと一緒に使用されるので、UseEncryption が no に設定されている場合は重複します。
  • 暗号化されていない監査を拒否するには、RefuseUnencrypted=yes を指定します。
  • 暗号化されている監査と暗号化されていない監査の両方を受け入れるには、RefuseUnencrypted=no を指定します。
注:
selogrcd デーモンは、seos.ini ファイルの同じトークンを使用します。
暗号化鍵を変更するには、この章で説明する sechkey ユーティリティを使用します。
重要:
レコードを監査コレクタに送信する場合、selogrd とコレクタの両方で同じ共有暗号化ファイルと暗号化鍵が使用されていることを確認してください。