Réalisation d'un audit des événements importants en plus de la connexion/déconnexion

Langue :

Appliquez cette procédure pour effectuer un audit des commandes d'administration, des accès au système et d'autres événements importants spécifiés dans la stratégie de sécurité de votre site.

Remarque - Les exemples présentés dans cette procédure peuvent ne pas être suffisants pour satisfaire la stratégie de sécurité de votre entreprise.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Auditez toutes les applications de commandes privilégiées réalisées par des utilisateurs disposant de profils de droits et de rôles d'administration.
Ajoutez la classe d'audit cusa à leur masque de présélection.
```
# usermod -K audit_flags=cusa:no username
```
```
# rolemod -K audit_flags=cusa:no rolename
```
Les classes d'audit incluses dans les métaclasses cusa sont répertoriées dans le fichier. /etc/security/audit_class.
Enregistrez les arguments saisis pour les commandes auditées.
```
# auditconfig -setpolicy +argv
```
(Facultatif) Enregistrez l'environnement dans lequel les commandes ayant fait l'objet d'un audit sont exécutées.
```
# auditconfig -setpolicy +arge
```
Remarque - Cette option de stratégie peut s'avérer utile en cas de dépannage.

Voir aussi

Pour plus d'informations sur la stratégie d'audit, reportez-vous à la section Stratégie d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Pour obtenir des exemples d'indicateurs d'audit, reportez-vous aux sections Configuration du service d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 et Dépannage du service d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Page de manuel auditconfig(1M)