La política de seguridad del sitio a menudo necesita que audite acciones administrativas. El evento de auditoría 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as captura estas acciones. La metaclase cusa, que proporciona un grupo de eventos que son apropiados para utilizar con las funciones es otra opción cuando se realiza la auditoría de acciones administrativas. Para obtener más información, revise los comentarios en el archivo /etc/security/audit_class file.
Ejemplo 5-5 Uso de dos roles para configurar la auditoríaEn este ejemplo, dos administradores implementan el plan de configuración de auditoría de su oficial de seguridad del sitio. El plan es utilizar la clase pf para todos los usuarios y especificar la metaclase cusa para los roles individuales. El rol root asigna los indicadores de auditoría para los roles. El primer administrador configura la auditoría y el segundo activa la nueva configuración.
El primer administrador tiene asignado el perfil de derechos de configuración de auditoría. Este administrador visualiza la configuración de auditoría actual:
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
Porque la clase pf no incluye la clase lo, el administrador agrega la clase al sistema.
# auditconfig -setflags lo,pf
Para leer la nueva configuración de auditoría en el núcleo, el administrador que tiene asignado el perfil de derechos de control de auditoría actualiza el servicio de auditoría.
# audit -s