Solaris のシステム管理 (セキュリティサービス)

ユーザーの事前選択マスクを変更する方法

audit_control ファイルまたはファイルを変更する場合、すでにログインしているユーザーの事前選択マスクは変更されません。事前選択マスクを強制的に変更する必要があります。

始める前に

監査を有効にしてユーザーがログインしてから、audit_control ファイルの flags または naflags の値を変更しました。新しく選択された監査クラスの監査対象とするために、すでにログインしているユーザーが必要です。

すでにログインしているユーザーの事前選択マスクを更新します。

2 つの選択肢があります。既存のセッションを終了するか、auditconfig コマンドを使用してユーザーの事前選択マスクを更新します。
- ユーザーの既存のセッションを終了します。
  
  ユーザーがログアウトしてふたたびログインするか、管理者がアクティブなセッションを手動で終了できます。新しいセッションでは、新しい事前選択マスクが継承されます。ただし、ユーザーの終了が実用的でない場合もあります。
- 各ユーザーの事前選択マスクを動的に変更します。
  
  audit_control ファイルの flags 属性が lo から lo,ex に変更されたものとします。
  1. ユーザーの監査 ID および監査セッション ID を決定します。
    
    まず、すべての通常ユーザーを検索します。次の例では、管理者が、root、daemon、または lp により所有されていないすべてのプロセスを検索します。
    # /usr/bin/pgrep -v -u root,daemon,lp | more .. 3941 3948 3949 10640 ...
    次に、ユーザーのプロセスの 1 つを使用して、ユーザーの監査 ID を検索します。
    # auditconfig -getpinfo 3941 audit id = jdoe(1002) process preselection mask = lo(0x1000,0x1000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 713
    ユーザーの事前選択マスクには、lo クラスが含まれますが、新しく追加された ex クラスは含まれません。
  ユーザーの監査 ID は 1002 です。ユーザーの監査セッション ID は 713 です。

ユーザーの事前選択マスクを変更します。

次の 2 つの方法のいずれかを使用します。
- ユーザーの監査セッション ID を使用して、ユーザーの事前選択マスクを変更します。
  # /usr/sbin/auditconfig -setsmask lo,ex 713
- ユーザーの監査 ID を使用して、ユーザーの事前選択マスクを変更します。
  # /usr/sbin/auditconfig -setumask lo,ex 1002

事前選択マスクが変更されたことを確認します。

# auditconfig -getpinfo 3941
audit id = jdoe(1002)
process preselection mask = ex,lo(0x40001000,0x40001000) 
terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234)
audit session id = 713