Solaris のシステム管理 (セキュリティサービス)

su コマンドを使用するユーザーの監視

/var/adm/sulog ファイルを監視すると、su の操作を監視することができます。su コマンドを使用するたびに、このファイルにログが記録されます。このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。


SULOG=/var/adm/sulog

su コマンドを使用すると、sulog ファイルには、ユーザーからスーパーユーザーに切り替えたときの su コマンドの使用を含め、すべての su コマンドの使用歴が記録されます。各エントリは、コマンドが入力された日時、su コマンドの成否 (+ または -)、コマンドが実行されたポート、およびユーザー名と切り替えたユーザー ID を示します。

/etc/default/su ファイルを通じて、リモートシステムから su コマンドを使用してスーパーユーザーのアクセス権を取得しようとする操作が発生するたびに、コンソールに表示されるようにシステムを設定することができます。これは、現在作業中のシステム上で誰かがスーパーユーザーのアクセス権を取得しようとした場合に、それをすぐに検出する適切な方法です。詳細な手順については次の章を参照してください。

su コマンドを使用するユーザーを監視する方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

  2. /var/adm/sulog ファイルの内容を定期的に監視します。


    # more /var/adm/sulog
    SU 12/20 16:26 + pts/0 nathan-root
    SU 12/21 10:59 + pts/0 nathan-root
    SU 01/12 11:11 + pts/0 root-joebob
    SU 01/12 14:56 + pts/0 pmorph-root
    SU 01/12 14:57 + pts/0 pmorph-root

コンソールへのスーパーユーザー (root) アクセス操作を表示する方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

  2. /etc/default/su ファイルを編集します。

  3. 次の行のコメントを解除します。


    CONSOLE=/dev/console

    su コマンドを使用してスーパーユーザーになり、システムコンソールにメッセージが出力されるかどうかを検証してください。