ユーザーの監査特性の変更方法

ユーザーごとの定義は、/etc/security/audit_user ファイルに格納されます。これらの定義は、audit_control ファイル内のフラグに対する例外です。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) audit_user ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_user /etc/security/audit_user.save

3. audit_user ファイルに新しいエントリを追加します。

   各エントリの書式は次のとおりです。

   username:always:never

   username

   監査するユーザー名を選択する

   always

   常に監査する監査クラスの一覧を選択する

   never

   監査しない監査クラスの一覧を選択する

   複数のフラグを指定するには、監査クラスをコンマで区切ります。監査ファイルの詳細は、監査クラスと監査フラグを参照してください。

4. 監査デーモンで新しいデータが使用できるようにします。

   新しいデータを使用するには、システムをリブートします。該当のユーザーをいったんログアウトさせてからログインし直させることもできます。

例 — 1 人のユーザーの監査を変更する

この例のエントリでは、ユーザー sue がログインクラス (lo) の任意のプログラムにアクセスすると、監査レコードが生成されます。

# grep sue /etc/security/audit_user
sue:lo:

例 — 監査管理ログインを作成する

ログインを監査対象としている場合にすべての監査パーティションがいっぱいになると、ユーザーがホストにログインできなくなる可能性があります。この状況を回避するために、監査を行わない特別なアカウントを設定できます。特別なアカウントは、監査パーティションがいっぱいになった場合でもホストにログインできるため、このようなパーティションの問題を解決することができます。この例では、アカウント auditadm を監査しないように定義します。

# grep auditadm /etc/security/audit_user
auditadmin:no:yes

監査管理アカウントの使用を許されたユーザーについては、別の方法で監視する必要があります。