탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
네트워크에서 감사를 사용으로 설정하기 전에 해당 사이트 감사 요구 사항을 충족하도록 기본값을 수정할 수 있습니다. 가장 좋은 방법은 처음 사용자가 로그인하기 전에 가능한 많이 감사 구성을 사용자 정의하는 것입니다.
영역을 구현한 경우 전역 영역에서 모든 영역을 감사하거나 비전역 영역을 개별적으로 감사하도록 선택할 수 있습니다. 개요는 감사 및 Oracle Solaris 영역을 참조하십시오. 계획은 영역에서 감사를 계획하는 방법.을 참조하십시오 절차는 영역에서 감사 서비스 구성(작업)을 참조하십시오.
다음 작업 맵에서는 감사 구성을 위한 절차를 안내합니다. 모든 작업은 선택 사항입니다.
|
이 절차의 명령은 현재 감사 구성을 표시합니다. 이 절차의 출력은 구성되지 않은 시스템에서 가져온 것입니다.
시작하기 전에
Audit Configuration 또는 Audit Control 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo는 login/logout 감사 클래스에 대한 플래그입니다. 마스크 출력의 형식은 (success, failure)입니다.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
주 - 클래스에 지정된 이벤트 및 이에 따라 기록되는 이벤트를 보려면 auditrecord -c class 명령을 실행합니다.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
active 정책은 현재 정책이지만, 정책 값은 감사 서비스에서 저장하지 않습니다. configured 정책은 감사 서비스에서 저장하므로 감사 서비스를 다시 시작하면 정책이 복원됩니다.
$ auditconfig -getplugin Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
audit_binfile 플러그인은 기본적으로 활성화됩니다.
$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
active 대기열 제어는 커널에서 현재 사용하고 있는 대기열 제어입니다. no configured 문자열은 시스템에서 기본값을 사용 중임을 나타냅니다.
사용자를 찾은 다음 각 사용자의 audit_flags 속성 값을 표시합니다.
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ... # userattr audit_flags adoe # userattr audit_flags jdoe
기본적으로 사용자는 시스템 전역 설정에 대해서만 감사됩니다.
userattr 명령에 대한 설명은 userattr(1) 매뉴얼 페이지를 참조하십시오. audit_flags 키워드에 대한 설명은 user_attr(4) 매뉴얼 페이지를 참조하십시오.
모니터할 이벤트를 포함하는 감사 클래스를 사전 선택합니다. 사전 선택된 클래스에 없는 이벤트는 기록되지 않습니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
# auditconfig -getflags ...
# auditconfig -getnaflags ,,,
출력에 대한 설명은 감사 서비스 기본값을 표시하는 방법을 참조하십시오.
# auditconfig -setflags lo,ps,fw user default audit flags = ps,lo,fw(0x101002,0x101002)
이 명령은 로그인/로그아웃, 프로세스 시작/중지 및 파일 쓰기 클래스에서 이벤트의 성공 및 실패에 대해 감사합니다.
주 - auditconfig -setflags 명령은 현재 시스템 기본값에 클래스를 추가하지 않습니다. 이 명령은 시스템 기본값을 바꾸므로 사전 선택할 모든 클래스를 지정해야 합니다.
na 클래스에는 대표적으로 PROM, 부트 및 지정 불가능한 마운트 이벤트가 포함됩니다.
# auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
lo 및 na는 -setnaflags 옵션에 유일하게 유용한 인수입니다.
주 - auditconfig -setnaflags 명령은 시스템 기본값을 바꾸므로 사전 선택할 모든 클래스를 지정해야 합니다.
시스템별 기준이 아닌 사용자별 기준으로 클래스를 사전 선택하면 시스템 성능에 대한 감사의 영향을 줄일 수 있는 경우가 있습니다. 또한 시스템과 약간 다르게 특정 사용자를 감사할 수도 있습니다.
각 사용자에 대한 감사 클래스 사전 선택은 audit_flags 보안 속성으로 지정됩니다. 프로세스 감사 특성에 설명된 대로 이러한 사용자 특정 값은 시스템에 대해 사전 선택된 클래스와 함께 사용자의 감사 마스크를 결정합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# usermod -K audit_flags=fw:no jdoe
audit_flags 키워드는 always-audit:never-audit입니다.
이 사용자에 대해 감사되는 감사 클래스를 나열합니다. 시스템 전역 클래스에 대한 수정 앞에는 캐럿(^)이 붙습니다. 시스템 전역 클래스에 추가된 클래스 앞에는 캐럿이 붙지 않습니다.
이러한 감사 이벤트가 시스템 전역으로 감사되더라도 사용자에 대해 감사되지 않는 감사 클래스를 나열합니다. 시스템 전역 클래스에 대한 수정 앞에는 캐럿(^)이 붙습니다.
여러 감사 클래스를 지정하려면 클래스를 콤마로 구분합니다. 자세한 내용은 audit_flags(5) 매뉴얼 페이지를 참조하십시오.
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
Audited System Administrator 권한 프로파일을 사용자나 역할에 지정할 경우 해당 사용자나 역할은 지정된 보안 속성의 검색 순서에 설명된 검색 순서에 따라 이러한 플래그에 대해 감사됩니다.
예 28-1 한 사용자에 대해 감사되는 이벤트 변경
이 예에서는 모든 사용자에 대한 감사 사전 선택 마스크가 다음과 같습니다.
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
관리자를 제외하고 로그인된 사용자가 없습니다.
시스템 리소스에 대한 AUE_PFEXEC 감사 이벤트의 영향을 줄이기 위해 관리자는 이 이벤트를 시스템 레벨에서 감사하지 않습니다. 대신 관리자는 사용자 jdoe에 대해 pf 클래스를 사전 선택합니다. pf 클래스는 예 28-10에서 만들어졌습니다.
# usermod -K audit_flags=pf:no jdoe
userattr 명령은 추가를 표시합니다.
# userattr audit_flags jdoe pf:no
사용자 jdoe가 로그인할 때 jdoe의 감사 사전 선택 마스크는 시스템 기본값과 audit_flags 값의 조합입니다. 289는 jdoe 로그인 셸의 PID입니다.
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000000000000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
예 28-2 한 사용자에 대한 감사 사전 선택 예외 사항 수정
이 예에서는 모든 사용자에 대한 감사 사전 선택 마스크가 다음과 같습니다.
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
관리자를 제외하고 로그인된 사용자가 없습니다.
관리자는 jdoe 사용자에 대해 실패한 ss 이벤트를 수집하지 않도록 결정합니다.
# usermod -K audit_flags=^-ss:no jdoe
userattr 명령은 예외 사항을 표시합니다.
# userattr audit_flags jdoe ^-ss:no
사용자 jdoe가 로그인할 때 jdoe의 감사 사전 선택 마스크는 시스템 기본값과 audit_flags 값의 조합입니다. 289는 jdoe 로그인 셸의 PID입니다.
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
예 28-3 선택한 사용자 감사, 시스템 전역 감사 없음
이 예에서는 4명의 선택된 사용자에 대한 로그인 및 역할 작업이 시스템에서 감사됩니다. 시스템에 대해 사전 선택된 감사 클래스는 없습니다.
먼저 관리자는 모든 시스템 전역 플래그를 제거합니다.
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
그런 다음 관리자는 4명의 사용자에 대해 2개의 감사 클래스를 사전 선택합니다. pf 클래스는 예 28-10에서 만들어졌습니다.
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
그런 다음 관리자는 root 역할에 대해 pf 클래스를 사전 선택합니다.
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
무단 침입 기록을 계속하기 위해 관리자는 지정 불가능한 로그인의 감사를 변경하지 않습니다.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
예 28-4 사용자의 감사 플래그 제거
다음 예에서는 관리자가 모든 사용자별 감사 플래그를 제거합니다. 현재 로그인된 사용자의 기존 프로세스는 계속 감사됩니다.
관리자는 audit_flags 키워드를 no 값으로 설정하여 usermod 명령을 실행합니다.
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
그런 다음 관리자는 제거를 확인합니다.
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoe
예 28-5 사용자 그룹에 대한 권한 프로파일 만들기
관리자는 사이트의 모든 관리 권한 프로파일이 pf 클래스를 명시적으로 감사하도록 하고자 합니다. 지정할 모든 권한 프로파일에 대해 관리자는 감사 플래그가 포함된 LDAP의 사이트별 버전을 만듭니다.
먼저, 관리자는 기존 권한 프로파일을 복제한 다음 이름을 변경하고 감사 플래그를 추가합니다.
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
사용할 모든 권한 프로파일에 대해 이 절차를 반복한 후 관리자는 Wifi Management 프로파일의 정보를 나열합니다.
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf
감사 정책은 로컬 시스템에 대한 감사 레코드의 특성을 결정합니다. 감사 정책을 변경하여 감사된 명령에 대한 자세한 정보를 기록하거나 영역 이름을 모든 레코드에 추가하거나 기타 사이트 보안 요구 사항을 충족할 수 있습니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
$ auditconfig -getpolicy ...
출력에 대한 설명은 감사 서비스 기본값을 표시하는 방법을 참조하십시오.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
선택 사항. 임시(또는 활성) 정책을 만듭니다. 디버깅 또는 테스트 목적으로 임시 정책을 설정할 수 있습니다.
임시 정책은 감사 서비스가 새로 고쳐질 때까지 또는 정책이 auditconfig -setpolicy 명령으로 수정될 때까지 유효합니다.
+의 prefix 값은 정책 목록을 현재 정책에 추가합니다. -의 prefix 값은 정책 목록을 현재 정책에서 제거합니다. 접두어가 없으면 감사 정책이 재설정됩니다. 이 옵션을 사용하여 현재 감사 정책을 유지할 수 있습니다.
사용으로 설정하거나 사용 안함으로 설정할 정책을 선택합니다.
예 28-6 ahlt 감사 정책 옵션
이 예에서는 cnt 정책이 사용 안함으로 설정되고 ahlt 정책이 사용으로 설정됩니다. 이 구성에서는 감사 대기열이 가득 찰 경우 시스템 사용이 정지되고 비동기 이벤트가 발생합니다. 동기 이벤트가 발생하면 스레드를 만든 프로세스가 멈춥니다. 이 구성은 보안이 가용성보다 중요한 경우 적합합니다. 자세한 내용은 비동기 및 동기 이벤트에 대한 감사 정책을 참조하십시오.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
ahlt 정책 앞의 더하기 기호(+)는 정책을 현재 정책 설정에 추가합니다. 더하기 기호가 없으면 ahlt 정책이 현재 정책 설정을 바꿉니다.
예 28-7 임시 감사 정책 설정
이 예에서는 감사 서비스가 사용으로 설정되었고 ahlt 감사 정책이 구성되었습니다. 관리자는 trail 감사 정책을 활성 정책(+trail)에 추가하지만, 감사 서비스에서 trail 감사 정책을 영구적으로(-t) 사용하도록 구성하지 않습니다. trail 정책은 손상된 감사 추적을 복구하는 데 유용합니다.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
디버깅이 완료되면 관리자는 trail 정책을 사용 안함으로 설정합니다.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
audit -s 명령을 실행하여 감사 서비스를 새로 고쳐도 감사 서비스의 다른 임시 값과 함께 이 임시 정책이 제거됩니다. 다른 임시 값의 예는 감사 대기열 제어를 변경하는 방법을 참조하십시오.
예 28-8 perzone 감사 정책 설정
이 예에서는 perzone 감사 정책이 전역 영역의 기존 정책에 추가됩니다. perzone 정책 설정은 영구 등록 정보로 저장되므로 perzone 정책은 세션 동안 및 감사 서비스가 다시 시작되어도 유효합니다.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cnt
감사 서비스는 감사 대기열 매개변수에 대한 기본값을 제공합니다. auditconfig 명령을 사용하여 이러한 값을 검사, 변경 및 임시적으로 변경할 수 있습니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
$ auditconfig -getqctrl ...
출력에 대한 설명은 감사 서비스 기본값을 표시하는 방법을 참조하십시오.
감사 대기열 제어의 예 및 설명은 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
일부 또는 모든 감사 대기열 제어를 수정하려면 -setqctrl 옵션을 사용합니다.
# auditconfig [ -t ] -setqctrl hiwater lowater bufsz interval
예를 들어, 다른 제어를 설정하지 않고 interval 값을 10으로 설정합니다.
# auditconfig -setqctrl 0 0 0 10
특정 감사 대기열 제어를 수정하려면 해당 옵션을 지정합니다. # auditconfig -setqdelay 10에서와 같이 -setqdelay 옵션은 -setqctrl 0 0 0 interval과 동일합니다.
# auditconfig [ -t ] -setqhiwater value # auditconfig [ -t ] -setqlowater value # auditconfig [ -t ] -setqbufsz value # auditconfig [ -t ] -setqdelay value
예 28-9 감사 대기열 제어를 기본값으로 재설정
관리자는 모든 감사 대기열 제어를 설정한 다음 저장소의 lowater 값을 기본값으로 다시 변경합니다.
# auditconfig -setqctrl 200 5 10216 10 # auditconfig -setqctrl 200 0 10216 10 configured audit queue hiwater mark (records) = 200 no configured audit queue lowater mark configured audit queue buffer size (bytes) = 10216 configured audit queue delay (ticks) = 10 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 5 active audit queue buffer size (bytes) = 10216 active audit queue delay (ticks) = 10
나중에 관리자는 lowater 값을 현재 세션에 대한 기본값으로 설정합니다.
# auditconfig -setqlowater 10 # auditconfig -getqlowater configured audit queue lowater mark (records) = 10 active audit queue lowater mark (records) = 10
/etc/security/audit_warn 스크립트는 관리자에게 주의가 필요할 수 있는 감사 이벤트를 알려주는 메일을 생성합니다. 이 스크립트를 사용자 정의하고 root 이외의 계정에 메일을 보낼 수 있습니다.
perzone 정책이 설정된 경우 비전역 관리자는 비전역 영역에서 audit_warn 전자 메일 별칭을 구성해야 합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
다음 옵션 중 하나를 선택합니다.
옵션 1 – audit_warn 스크립트에서 audit_warn 전자 메일 별칭을 다른 전자 메일 계정으로 바꿉니다.
스크립트의 ADDRESS 행에서 audit_warn 전자 메일 별칭을 다른 주소로 변경합니다.
#ADDRESS=audit_warn # standard alias for audit alerts ADDRESS=audadmin # role alias for audit alerts
주의 - 새 릴리스의 Oracle Solaris OS로 업그레이드하는 경우 사용자 정의된 audit_warn 파일과 audit_warn.new 파일을 수동으로 병합해야 합니다. 이 새 파일에는 중요 변경 사항이 포함되어 있을 수 있습니다. 업그레이드 시 preserve=renamenew 파일 작업에 대한 설명은 pkg(5) 매뉴얼 페이지를 참조하십시오. |
옵션 2 – audit_warn 전자 메일을 다른 메일 계정으로 리디렉션합니다.
이 경우 audit_warn 전자 메일 별칭을 적당한 메일 별칭 파일에 추가합니다. 로컬 /etc/mail/aliases 파일이나 이름 공간의 mail_aliases 데이터베이스에 별칭을 추가할 수 있습니다. root 및 audadmin 전자 메일 계정이 audit_warn 전자 메일 별칭의 구성원으로 추가된 경우 /etc/mail/aliases 항목은 다음과 유사합니다.
audit_warn: root,audadmin
그런 다음 newaliases 명령을 실행하여 aliases 파일에 대한 임의 액세스 데이터베이스를 재구축합니다.
# newaliases /etc/mail/aliases: 14 aliases, longest 10 bytes, 156 bytes total
고유의 감사 클래스를 만들 때 해당 사이트에 대해 감사하고자 하는 감사 이벤트를 추가하면 됩니다.
한 시스템에서 클래스를 추가하는 경우 감사하는 모든 시스템에 변경 사항을 복사합니다. 가장 좋은 방법은 감사 서비스를 사용으로 설정하기 전에 감사 클래스를 만드는 것입니다.
주의 - 새 릴리스의 Oracle Solaris OS로 업그레이드하는 경우 사용자 정의된 audit_class 파일과 audit_class.new 파일을 수동으로 병합해야 합니다. 이 새 파일에는 중요 변경 사항이 포함되어 있을 수 있습니다. 업그레이드 시 preserve=renamenew 파일 작업에 대한 설명은 pkg(5) 매뉴얼 페이지를 참조하십시오. |
시작하기 전에
항목은 고유해야 합니다. 사용 가능한 비트를 선택해야 합니다. 고객이 사용 가능한 비트는 /etc/security/audit_class 파일에 설명되어 있습니다.
root 역할을 가진 사용자여야 합니다.
# cp /etc/security/audit_class /etc/security/audit_class.orig
각 항목의 형식은 다음과 같습니다.
0x64bitnumber:flag:description
필드에 대한 설명은 audit_class(4) 매뉴얼 페이지를 참조하십시오. 기존 클래스 목록은 /etc/security/audit_class 파일을 참조하십시오.
예 28-10 새 감사 클래스 만들기
이 예에서는 역할에서 실행되는 관리 명령을 포함하는 클래스를 만듭니다. audit_class 파일에 추가된 항목은 다음과 같습니다.
0x0100000000000000:pf:profile command
항목은 새 pf 감사 클래스를 만듭니다. 예 28-11은 새 감사 클래스를 채웁니다.
일반 오류
audit_class 파일을 사용자 정의한 경우 시스템의 감사 사전 선택 마스크에 대한 사용자 예외 사항이 새 감사 클래스와 일관성이 있는지 확인합니다. audit_flags 값이 audit_class 파일의 일부가 아닌 경우 오류가 발생합니다.
감사 이벤트의 클래스 멤버쉽을 변경하여 기존 감사 클래스의 크기를 줄이거나 이벤트를 고유의 클래스에 추가할 수 있습니다.
주의 - audit_event 파일에서 이벤트를 주석 처리하지 마십시오. 이 파일은 praudit 명령에서 이진 감사 파일을 읽는 데 사용됩니다. 아카이브된 감사 파일은 파일에 나열된 이벤트를 포함할 수 있습니다. |
한 시스템에서 감사 이벤트-클래스 매핑을 재구성하는 경우 감사하는 모든 시스템에 변경 사항을 복사합니다. 가장 좋은 방법은 사용자가 로그인하기 전에 이벤트-클래스 매핑을 변경하는 것입니다.
주의 - 새 릴리스의 Oracle Solaris OS로 업그레이드하는 경우 사용자 정의된 audit_event 파일과 audit_event.new 파일을 수동으로 병합해야 합니다. 이 새 파일에는 중요 변경 사항이 포함되어 있을 수 있습니다. 업그레이드 시 preserve=renamenew 파일 작업에 대한 설명은 pkg(5) 매뉴얼 페이지를 참조하십시오. |
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# cp /etc/security/audit_event /etc/security/audit_event.orig
각 항목의 형식은 다음과 같습니다.
number:name:description:class-list
감사 이벤트 ID입니다.
감사 이벤트의 이름입니다.
일반적으로 감사 레코드 만들기를 트리거하는 시스템 호출 또는 실행 파일입니다.
콤마로 구분된 감사 클래스 목록입니다.
예 28-11 기존 감사 이벤트를 새 클래스에 매핑
이 예에서는 기존 감사 이벤트를 예 28-10에서 만들어진 새 클래스에 매핑합니다. 기본적으로 AUE_PFEXEC 감사 이벤트는 ps, ex, ua 및 as의 4개 클래스에 매핑됩니다. 새 클래스를 만들면 관리자는 다른 4개 클래스의 이벤트를 감사하지 않고 AUE_PFEXEC 이벤트를 감사할 수 있습니다.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # vi /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)