每个用户的定义都存储在 audit_user 数据库中。这些定义为指定的用户修改 audit_control 文件中的预选类。nsswitch.conf 文件确定是否使用了本地文件或名称服务数据库。要计算用户的最终审计预选掩码,请参见进程审计特征。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
(可选的)保存 audit_user 数据库的副本。
# cp /etc/security/audit_user /etc/security/audit_user.orig |
在 audit_user 数据库中添加新项。
在本地数据库中,每一项都具有以下格式:
username:always-audit:never-audit |
选择要审计的用户的名称。
选择总是应该针对指定用户进行审计的审计类列表。
选择绝对不要针对指定用户进行审计的审计类列表。
可以通过用逗号分隔审计类来指定多个类。
audit_user 项将在用户下一次登录时生效。
在本示例中,audit_control 文件包含系统的预选审计类:
# audit_control file … flags:lo,ss minfree:10 naflags:lo,na |
audit_user 文件显示了一个例外情况。当用户 jdoe 使用配置文件 shell 时,将审计此使用情况:
# audit_user file jdoe:pf |
jdoe 的审计预选掩码是 audit_user 设置和 audit_control 设置的组合。auditconfig -getaudit 命令显示 jdoe 的预选掩码:
# auditconfig -getaudit audit id = jdoe(1234567) process preselection mask = ss,pf,lo(0x13000,0x13000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 454 |
在本示例中,只在此系统上审计四个用户的登录和角色活动。audit_control 文件不预选系统的审计类:
# audit_control file … flags: minfree:10 naflags: |
audit_user 文件为四个用户预选两个审计类:
# audit_user file jdoe:lo,pf kdoe:lo,pf pdoe:lo,pf sdoe:lo,pf |
以下 audit_control 文件可防止系统受到无担保的侵入。在与 audit_user 文件合并后,此文件比本示例中第一个 audit_control 文件更能保护系统安全。
# audit_control file … flags: minfree:10 naflags:lo |