ユーザーの監査特性の変更方法
ユーザーごとの定義は、audit_user データベースに格納されます。 これらの定義は、指定されたユーザーに関して、audit_control ファイルで事前に選択されたクラスを変更します。nsswitch.conf ファイルは、ローカルファイルまたはネームサービスデータベースのどちらを使用するかを決定します。ユーザーの最終監査事前定義マスクを計算する方法は、「プロセスの監査特性」を参照してください。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
(省略可能) audit_user データベースのバックアップコピーを保存します。
# cp /etc/security/audit_user /etc/security/audit_user.orig
-
audit_user データベースに新しいエントリを追加します。
ローカルデータベースの場合、各エントリの書式は次のようになります。
username:always-audit:never-audit
- username
-
監査するユーザー名を選択します。
- always-audit
-
指定したユーザーについて常に監査する監査クラスの一覧を選択します。
- never-audit
-
指定したユーザーについて監査しない監査クラスの一覧を選択します。
複数のクラスを指定するには、監査クラスをコンマで区切ります。
audit_user エントリは、ユーザーの次回のログイン時に有効になります。
例 30–8 1 人のユーザーに関して監査するイベントを変更する
この例では、audit_control ファイルは、システム用の事前に選択された監査クラスを含みます。
## audit_control file … flags:lo,ss naflags:lo,na |
audit_user ファイルは例外を表示します。ユーザー jdoe がプロファイルシェルを使用すると、監査されます。
## audit_user file jdoe:pf |
jdoe の監査事前選択マスクは、audit_user 設定と audit_control 設定を結合したものです。auditconfig -getaudit コマンドは、jdoe の事前選択マスクを表示します。
# auditconfig -getaudit audit id = jdoe(1234567) process preselection mask = ss,pf,lo(0x13000,0x13000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 2138517656 |
例 30–9 システムではなくユーザーだけを監査する
この例では、システム上での 4 人のログインと役割活動が監査されます。audit_control ファイルは、システム用の監査クラスを事前に選択しません。
## audit_control file … flags: naflags: |
audit_user ファイルは、次のように 4 人のユーザー用の 2 つの監査クラスを事前に選択します。
## audit_user file jdoe:lo,pf kdoe:lo,pf pdoe:lo,pf sdoe:lo,pf |
次の audit_control ファイルは、不当な侵入を記録します。audit_user ファイルとの組み合わせにより、この例の最初の audit_control ファイルに比べてシステムをより確実に保護します。
## audit_control file … flags: naflags:lo plugin:name=... |
- © 2010, Oracle Corporation and/or its affiliates