subject 标记
subject 标记可介绍执行或尝试执行某操作的用户。格式与 process 标记的格式相同。subject 标记具有九个字段:
-
标记 ID 字段,将此标记标识为 subject 标记
-
审计 ID 字段
-
有效用户 ID 字段
-
有效组 ID 字段
-
实际用户 ID 字段
-
实际组 ID 字段
-
进程 ID 字段
-
审计会话 ID 字段
-
终端 ID 字段,包含设备 ID 和计算机 ID
审计 ID、用户 ID、组 ID、进程 ID 以及会话 ID 均为长字段,而不是短字段。
注 –
subject 标记的会话 ID、实际用户 ID 或实际组 ID 字段可能不可用。因此将值设置为 -1。
任何包含终端 ID 的标记都具有数个变体。 praudit 命令可隐藏这些变体。因此,对于任何包含终端 ID 的标记,均采用相同的方式处理终端 ID。终端 ID 为 IP 地址、端口号或设备 ID。设备 ID(例如连接到调制解调器的串行端口)可以为零。终端 ID 通过数种格式之一进行指定。
以设备编号表示的终端 ID 按如下方式指定:
-
32 位应用程序-4 个字节表示设备编号,4 个字节未使用
-
64 位应用程序-8 个字节表示设备编号,4 个字节未使用
在 Solaris 8 之前的发行版中,以端口号表示的终端 ID 按如下方式指定:
-
32 位应用程序-4 个字节表示端口号,4 个字节表示 IP 地址
-
64 位应用程序-8 个字节表示端口号,4 个字节表示 IP 地址
自 Solaris 8 发行版开始,以端口号表示的终端 ID 按如下方式指定:
-
使用 IPv4 的 32 位-4 个字节表示端口号,4 个字节表示 IP 类型,4 个字节表示 IP 地址
-
使用 IPv6 的 32 位-4 个字节表示端口号,4 个字节表示 IP 类型,16 个字节表示 IP 地址
-
使用 IPv4 的 64 位-8 个字节表示端口号,4 个字节表示 IP 类型,4 个字节表示 IP 地址
-
使用 IPv6 的 64 位-8 个字节表示端口号,4 个字节表示 IP 类型,16 个字节表示 IP 地址
subject 标记始终作为内核针对系统调用生成的审计记录的一部分返回。praudit 命令可按如下方式显示 subject 标记:
subject,jdoe,root,staff,root,staff,424,223,0 0 example1 |
下图显示了 subject 标记的格式。
图 30–6 subject 标记格式
- © 2010, Oracle Corporation and/or its affiliates