監査イベントの所属先クラスの変更方法

イベントからクラスへの割り当ては、/etc/security/audit_event ファイル内に定義されています。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) audit_event ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_event /etc/security/audit_event.orig

3. 特定のイベントの flag を変更して、そのイベントが属するクラスを変更します。

   各エントリの書式は次のとおりです。

   number:event:program:flag

   number

   監査イベント ID を定義する

   event

   監査イベントの名前を定義する

   program

   監査レコードの作成を開始するシステムコールまたはユーザーレベルのプログラム実行可能ファイルを定義する

   flag

   監査クラスの 2 文字の名前を定義する

4. BSM サービスで新しいデータが使用できるようにします。

   新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。

   # auditconfig -conf # audit -s

例 — サイト固有の監査イベントの割り当てを作成する

この例では、新しいクラスを定義して、そのクラスにイベントを追加します。割り当てを使用するには、新しいクラスを audit_control ファイル内に記述してから、システムをリブートします。

1. audit_class ファイルで、監視したい監査イベントのみを収集するため、サイト固有のクラスを定義します。

   0x00000800:sc:site class

2. audit_event ファイルで、一連の監査イベントの所属先を新しいクラスに変更します。

   26:AUE_SETGROUPS:setgroups(2):sc 27:AUE_SETPGRP:setpgrp(2):sc 40:AUE_SETREUID:setreuid(2):sc 41:AUE_SETREGID:setregid(2):sc 214:AUE_SETEGID:setegid(2):sc 215:AUE_SETEUID:seteuid(2):sc

3. audit_controlファイルで新しいフラグを使用します。次のエントリは、ログインを監査するとともに、sc クラスに属するイベントのすべての正常な起動を監査します。

   flags:lo,+sc

4. 新しい構成によってすべてのプロセスが確実に監査されるようにするには、システムをリブートします。または、次の一連のコマンドを使えば、そのマシンを使用する各ユーザーが正しく監査されるようになります。auid はユーザー ID です。

   # auditconfig -conf # audit -s # setumask auid lo,+sc