Konfigurieren und Aktivieren des Prüfservice (Aufgaben)

Nach dem Einrichten der Konfigurationsdateien an Ihrem Standort müssen Sie Festplattenspeicher für die Prüfdateien einrichten. Außerdem müssen Sie andere Attribute des Prüfservice einrichten und anschließend den Service aktivieren. In diesem Abschnitt sind ebenfalls Verfahren zum Aktualisieren des Prüfservice beschrieben, wenn die Konfigurationseinstellungen geändert werden.

Wenn eine nicht globale Zone installiert ist, können Sie festlegen, dass die Zone genauso wie die globale Zone geprüft wird. Wenn Sie stattdessen die nicht globale Zone einzeln prüfen möchten, können Sie die Prüfkonfigurationsdateien in der nicht globalen Zone ändern. Weitere Informationen zum Anpassen der Prüfkonfigurationsdateien finden Sie unter Konfigurieren der Prüfdateien (Übersicht der Schritte).

So erstellen Sie Partitionen für Prüfdateien

Im folgenden Verfahren wird beschrieben, wie Partitionen für Prüfdateien sowie die entsprechenden Dateisysteme und Verzeichnisse erstellt werden. Überspringen Sie die entsprechenden Schritte, wenn Sie bereits über eine leere Partition verfügen oder ein leeres Dateisystem eingehängt haben.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Legen Sie den erforderlichen Festplattenspeicher fest.

   Weisen Sie mindestens 200 MB Festplattenspeicher pro Host zu. Die Anforderungen an den Festplattenspeicher hängen jedoch vom Umfang der erforderlichen Prüfung ab. Deshalb kann Ihr Festplattenspeicherbedarf höher sein. Beachten Sie, eine lokale Partition für ein Reserveverzeichnis festzulegen.

3. Erstellen Sie dedizierte Prüfpartitionen bei Bedarf.

   Dieser Schritt kann einfach während der Serverinstallation durchgeführt werden. Außerdem können Sie Partitionen auf Festplatten erstellen, die noch nicht auf dem Server eingehängt sind. Ausführliche Anweisungen zum Erstellen von Partitionen finden Sie unter Kapitel 11, Administering Disks (Tasks) in System Administration Guide: Devices and File Systems.

   # newfs /dev/rdsk/cwtxdysz

   Dabei gilt: /dev/rdsk/cwt xdys z ist der Raw-Gerätename für die Partition.

   Wenn der lokale Host geprüft werden soll, erstellen Sie ebenfalls ein Reserveprüfverzeichnis für den lokalen Host.

4. Erstellen Sie Einhängepunkte für jede neue Partition.

   # mkdir /var/audit/server-name.n

   Dabei gilt: server-name.n ist der Name des Servers sowie eine Zahl zur Identifizierung der einzelnen Partitionen. Die Zahl ist optional, aber hilfreich, wenn mehrere Prüfverzeichnisse vorhanden sind.

5. Fügen Sie Einträge hinzu, um die neuen Partitionen automatisch einzuhängen.

   Fügen Sie eine Zeile ähnlich der folgenden zur Datei /etc/vfstab hinzu:

   /dev/dsk/cwtxdysz /dev/rdsk/cwtxdysz /var/audit/server-name.n   ufs  2  yes

6. (Optional) Entfernen Sie den Schwellenwert für den mindestens verfügbaren freien Speicherplatz auf den einzelnen Partitionen.

   Bei einer Standardkonfiguration wird eine Warnung generiert, wenn das Verzeichnis zu 80 Prozent voll ist. Durch die Warnung braucht kein freier Speicherplatz für die Partition reserviert werden.

   # tunefs -m 0 /var/audit/server-name.n

7. Hängen Sie die neuen Prüfpartitionen ein.

   # mount /var/audit/server-name.n

8. Erstellen Sie Prüfverzeichnisse auf den neuen Partitionen.

   # mkdir /var/audit/server-name.n/files

9. Korrigieren Sie die Berechtigungen auf den Einhängepunkten und neuen Verzeichnissen.

   # chmod -R 750 /var/audit/server-name.n/files

10. Definieren Sie auf einem Dateiserver die Dateisysteme, die auf anderen Hosts verfügbar sein sollen.

    In vielen Fällen werden Festplatten-Farmen zum Speichern von Prüfdatensätzen installiert. Wenn ein Prüfverzeichnis von verschiedenen Systemen verwendet werden soll, muss das Verzeichnis über den NFS-Service gemeinsam genutzt werden. Fügen Sie einen Eintrag ähnlich des folgenden für jedes Verzeichnis zur Datei /etc/dfs/dfstab hinzu:

    share -F nfs /var/audit/server-name.n/files

11. Führen Sie auf einem Dateiserver einen Neustart des NFS-Service durch.

    Wenn dieser Befehl der erste share-Befehl oder Satz von share-Befehlen ist, die Sie gestartet haben, werden die NFS-Dämonen möglicherweise nicht ausgeführt.

    • Wenn der NFS-Service offline ist, aktivieren Sie den Service.

      % svcs \*nfs\*
      disabled       Nov_02   svc:/network/nfs/rquota:default
      offline        Nov_02   svc:/network/nfs/server:default
      # svcadm enable network/nfs/server

    • Wenn der NFS-Service ausgeführt wird, starten Sie den Service neu.

      % svcs \*nfs\*
      online         Nov_02   svc:/network/nfs/client:default
      online         Nov_02   svc:/network/nfs/server:default
      # svcadm restart network/nfs/server

    Weitere Informationen zum NFS-Service erhalten Sie unter Einrichten von NFS-Services in Systemverwaltungshandbuch: Netzwerkdienste. Weitere Informationen zum Verwalten von persistenten Services finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration und auf der Manpage smf(5).

Beispiel 30-13 Erstellen eines Reserveprüfverzeichnisses

Alle Systeme, auf denen der Prüfservice ausgeführt wird, müssen über ein lokales Dateisystem verfügen, das verwendet werden kann, wenn kein anderes Dateisystem verfügbar ist. In diesem Beispiel wird ein Dateisystem zu einem System mit dem Namen egret hinzugefügt. Da dieses Dateisystem nur lokal verwendet wird, müssen keine der für einen Dateiserver erforderlichen Schritte durchgeführt werden.

# newfs /dev/rdsk/c0t2d0
# mkdir /var/audit/egret
# grep egret /etc/vfstab
/dev/dsk/c0t2d0s1  /dev/rdsk/c0t2d0s1  /var/audit/egret ufs  2  yes  -
# tunefs -m 0 /var/audit/egret
# mount /var/audit/egret
# mkdir /var/audit/egret/files
# chmod -R 750 /var/audit/egret/files

Beispiel 30-14 Erstellen neuer Prüfpartitionen

In diesem Beispiel wird ein neues Dateisystem auf zwei neuen Festplatten erstellt, die von anderen Systemen im Netzwerk verwendet werden sollen.

# newfs /dev/rdsk/c0t2d0
# newfs /dev/rdsk/c0t2d1
# mkdir /var/audit/egret.1
# mkdir /var/audit/egret.2
# grep egret /etc/vfstab
/dev/dsk/c0t2d0s1  /dev/rdsk/c0t2d0s1  /var/audit/egret.1 ufs  2  yes  -
/dev/dsk/c0t2d1s1  /dev/rdsk/c0t2d1s1  /var/audit/egret.2 ufs  2  yes  -
# tunefs -m 0 /var/audit/egret.1
# tunefs -m 0 /var/audit/egret.2
# mount /var/audit/egret.1
# mount /var/audit/egret.2
# mkdir /var/audit/egret.1/files
# mkdir /var/audit/egret.2/files
# chmod -R 750 /var/audit/egret.1/files /var/audit/egret.2/files
# grep egret /etc/dfs/dfstab
 share -F nfs /var/audit/egret.1/files
 share -F nfs /var/audit/egret.2/files
# svcadm enable network/nfs/server

Beispiel 30-15 Erstellen von ZFS-Prüfpartitionen

In diesem Beispiel führt der Administrator den Befehl script aus, nachdem die ZFS-Prüfpartitionen erstellt wurden. Im Folgenden sehen Sie die Ausgabe des Befehls:

# zpool create auditf mirror c0t4d0 c0t5d0
# zfs create -o mountpoint=/audit auditf/audit
# zfs create auditf/audit/noddy
# zfs create auditf/audit/noddy/files
# zfs create auditf/audit/blinken
# zfs create auditf/audit/blinken/files
# zfs set devices=off auditf/audit
# zfs set exec=off auditf/audit
# zfs set setuid=off auditf/audit
# zfs set sharenfs=on auditf/audit
# share
-               /audit/blinken/files   rw   ""
-               /audit/noddy   rw   ""
-               /audit/blinken   rw   ""
-               /audit/noddy/files   rw   ""
-               /audit   rw   ""
# ^D
script done on Fri Apr 10 10:10:20 2009

Der Administrator kann anschließend die eingehängten Systeme über das Remote-System remotesys anzeigen.

# dfshares remotesys
RESOURCE                             SERVER ACCESS    TRANSPORT
remotesys:/audit/blinken/files       remotesys  -         -
remotesys:/audit/noddy               remotesys  -         -
remotesys:/audit/blinken             remotesys  -         -
remotesys:/audit/noddy/files         remotesys  -         -
remotesys:/audit                     remotesys  -         -

Abschließend hängt der Administrator das Dateisystem /audit auf /var/audit ein.

# mount remotesys:/audit /var/audit
# ls /var/audit
blinken  noddy 

So konfigurieren Sie den E-Mail-Alias audit_warn

Das Skript audit_warn generiert eine Mail und sendet sie an einen E-Mail-Alias mit dem Namen audit_warn. Um diese Mail an eine gültige E-Mail-Adresse zu senden, können Sie eine der unter Schritt 2 beschriebenen Optionen verwenden.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Konfigurieren Sie den E-Mail-Alias audit_warn.

   Wählen Sie eine der folgenden Optionen:

   • OPTION 1: Ersetzen Sie den E-Mail-Alias audit_warn durch ein anderes E-Mail-Konto im Skript audit_warn.

     Ändern Sie den E-Mail-Alias in der folgenden Zeile des Skripts:

     ADDRESS=audit_warn            # standard alias for audit alerts

   • OPTION 2: Leiten Sie die E-Mail audit_warn an ein anderes E-Mail-Konto weiter.

     Fügen Sie in diesem Fall den E-Mail-Alias audit_warn zur entsprechenden Mail-Alias-Datei hinzu. Sie können den Alias zur lokalen Datei /etc/mail/aliases oder zur Datenbank mail_aliases im Namespace hinzufügen. Der neue Eintrag sieht ähnlich des folgenden aus, wenn das E-Mail-Konto root zum E-Mail-Alias audit_warn hinzugefügt wird:

     audit_warn: root

So konfigurieren Sie die Prüfrichtlinie

Die Prüfrichtlinie bestimmt die Merkmale der Prüfdatensätze für den lokalen Host. Wenn die Prüfung aktiviert ist, bestimmt der Inhalt der Datei /etc/security/audit_startup die Prüfrichtlinie.

Sie können die aktuellen Prüfrichtlinienoptionen mit dem Befehl auditconfig anzeigen und ändern. Außerdem können Sie Richtlinienoptionen für den Befehl auditconfig im Skript audit_startup ändern, um dauerhaft Änderungen an der Prüfrichtlinie vorzunehmen.

1. Nehmen Sie eine Rolle an, die das Profil "Audit Control" beinhaltet, oder melden Sie sich als Superuser an.

   Informationen zum Erstellen einer Rolle, die das Profil "Audit Control" beinhaltet und zum Zuweisen dieser Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).

2. Überprüfen Sie die Prüfrichtlinie.

   Bevor die Prüfung aktiviert wird, bestimmt der Inhalt der Datei audit_startup die Prüfrichtlinie:

   #! /bin/sh
   ...
   /usr/bin/echo "Starting BSM services."
   /usr/sbin/auditconfig -setpolicy +cnt Counts rather than drops records
   /usr/sbin/auditconfig -conf  Configures event-class mappings
   /usr/sbin/auditconfig -aconf Configures nonattributable events

3. Zeigen Sie die verfügbaren Richtlinienoptionen an.

   $ auditconfig -lspolicy

   ---

   Hinweis - Die Richtlinienoptionen perzone und ahlt können nur in der globalen Zone eingestellt werden.

   ---

4. Aktivieren oder deaktivieren Sie die ausgewählten Prüfrichtlinienoptionen.

   # auditconfig -setpolicy prefixpolicy

   prefix

   Wenn prefix den Wert + aufweist, wird die Richtlinienoption aktiviert. Wenn prefix den Wert - aufweist, wird die Richtlinienoption deaktiviert.

   policy

   Legt fest, ob die Richtlinie aktiviert oder deaktiviert wird

   Die Richtlinie gilt bis zum nächsten Booten oder bis die Richtlinie durch den Befehl auditconfig -setpolicy geändert wird.

   Eine Beschreibung der einzelnen Richtlinienoptionen erhalten Sie unter Festlegen der Prüfrichtlinien.

Beispiel 30-16 Einrichten der Prüfrichtlinienoptionen cnt und ahlt

In diesem Beispiel ist die Richtlinie cnt deaktiviert und die Richtlinie ahlt aktiviert. Durch diese Einstellungen wird die Verwendung des Systems angehalten, wenn die Prüfpartitionen voll sind und ein asynchrones Ereignis auftritt. Wenn ein synchrones Ereignis auftritt, wird der Prozess, der den Thread erstellt hat, blockiert. Diese Einstellungen eignen sich, wenn die Sicherheit wichtiger als die Verfügbarkeit ist.

Durch die folgenden audit_startup-Einträge wird beim Neubooten die Richtlinienoption cnt deaktiviert und die Richtlinienoption ahlt aktiviert:

# cat /etc/security/audit_startup
#!/bin/sh
/usr/bin/echo "Starting BSM services."
/usr/sbin/deallocate -Is
/usr/sbin/auditconfig -conf
/usr/sbin/auditconfig -aconf
/usr/sbin/auditconfig -setpolicy -cnt    
/usr/sbin/auditconfig -setpolicy +ahlt

Beispiel 30-17 Vorübergehendes Einrichten der Prüfrichtlinie seq

In diesem Beispiel wird der Dämon auditd ausgeführt und die Prüfrichtlinie ahlt wurde eingerichtet. Die Prüfrichtlinie seq wird zur aktuellen Richtlinie hinzugefügt. Durch die Richtlinie seq wird ein sequence-Token zu jedem Prüfdatensatz hinzugefügt. Dies dient zur Fehlersuche des Prüfservice, wenn die Prüfdatensätze beschädigt sind oder die Datensätze übersprungen wurden.

Durch das Präfix + wird die Option seq zur Prüfrichtlinie hinzugefügt und ersetzt nicht die aktuelle Prüfrichtlinie durch seq. Durch den Befehl auditconfig wird die Richtlinie bis zum nächsten Aufrufen des Befehls oder bis zum nächsten Booten übernommen.

$ auditconfig -setpolicy +seq
$ auditconfig -getpolicy
audit policies = ahlt,seq    

Beispiel 30-18 Einrichten der Prüfrichtlinie perzone

In diesem Beispiel wird die Prüfrichtlinie perzone im Skript audit_startup in der globalen Zone festgelegt. Wenn eine Zone gebootet wird, erfasst die nicht globale Zone die Prüfdatensätze gemäß den Prüfkonfigurationseinstellungen der zugehörigen Zone.

$ cat /etc/security/audit_startup
#!/bin/sh
/usr/bin/echo "Starting BSM services."
/usr/sbin/deallocate -Is
/usr/sbin/auditconfig -conf
/usr/sbin/auditconfig -aconf
/usr/sbin/auditconfig -setpolicy +perzone
/usr/sbin/auditconfig -setpolicy +cnt

Beispiel 30-19 Ändern einer Prüfrichtlinie

In diesem Beispiel wird der Prüfdämon ausgeführt und die Prüfrichtlinie wurde eingerichtet. Der Befehl auditconfig ändert die Richtlinien ahlt und cnt während der Sitzung. Bei diesen Einstellungen werden die Prüfdatensätze übersprungen, aber gezählt, wenn das Prüfdateisystem voll ist. Weitere Informationen zu Einschränkungen beim Einrichten der Richtlinie ahlt finden Sie unter Schritt 3.

$ auditconfig -setpolicy +cnt
$ auditconfig -setpolicy -ahlt
$ auditconfig -getpolicy
audit policies = cnt,seq

Durch Hinzufügen der Änderungen zur Datei audit_startup werden die Richtlinien dauerhaft übernommen:

$ cat /etc/security/audit_startup
#!/bin/sh
/usr/bin/echo "Starting BSM services."
/usr/sbin/deallocate -Is
/usr/sbin/auditconfig -conf
/usr/sbin/auditconfig -aconf
/usr/sbin/auditconfig -setpolicy +cnt

Die Option -ahlt muss nicht in der Datei angegeben werden, da die Richtlinienoption ahlt standardmäßig deaktiviert ist. Diese Einstellung eignet sich, wenn die Verfügbarkeit wichtiger als die Sicherheit ist, die durch die Prüfdatensätze bereitgestellt wird.

So aktivieren Sie den Prüfservice

Durch dieses Verfahren wird der Prüfservice für alle Zonen aktiviert. Weitere Informationen zum Starten des Prüfdämons in einer nicht globalen Zone finden Sie unter Beispiel 30-20.

Wenn die Prüfung sicher konfiguriert wurde, bleibt das System im Einzelbenutzermodus, bis die Prüfung aktiviert wird. Sie können die Prüfung auch im Mehrbenutzermodus aktivieren.

Bevor Sie beginnen

Führen Sie dieses Verfahren als Superuser aus, nachdem Sie die folgenden Aufgaben abgeschlossen haben:

• Planen: Planen der Oracle Solaris-Prüfung (Übersicht der Schritte)

• Anpassen der Prüfdateien: Konfigurieren der Prüfdateien (Übersicht der Schritte)

• Einrichten von Prüfpartitionen: So erstellen Sie Partitionen für Prüfdateien

• Einrichten von Prüfwarnungsmeldungen: So konfigurieren Sie den E-Mail-Alias audit_warn

• Einrichten der Prüfrichtlinie: So konfigurieren Sie die Prüfrichtlinie

1. Führen Sie das Skript aus, durch das der Prüfservice aktiviert wird.

   Wechseln Sie in das Verzeichnis /etc/security und führen Sie das Skript bsmconv aus.

   # cd /etc/security
   # ./bsmconv
   This script is used to enable the Basic Security Module (BSM).
   Shall we continue with the conversion now? [y/n] y
   bsmconv: INFO: checking startup file.
   bsmconv: INFO: turning on audit module.
   bsmconv: INFO: initializing device allocation.
   
   The Basic Security Module is ready.
   If there were any errors, please fix them now.
   Configure BSM by editing files located in /etc/security.
   Reboot this system now to come up with BSM enabled.

   Weitere Informationen zu den Auswirkungen des Skripts erhalten Sie auf der Manpage bsmconv(1M).

2. Starten Sie das System neu.

   # reboot

   Durch die Startdatei /etc/security/audit_startup wird der Dämon auditd automatisch ausgeführt, wenn das System den Mehrbenutzermodus aufruft.

   Eine weitere Auswirkung des Skripts ist die Aktivierung der Gerätezuordnung. Weitere Informationen zum Konfigurieren der Gerätezuordnung finden Sie unter Verwalten der Gerätezuordnung (Übersicht der Schritte).

Beispiel 30-20 Aktivieren der Prüfung in einer nicht globalen Zone

Im folgenden Beispiel wurde die Richtlinie perzone vom Administrator der globalen Zone aktiviert, nachdem die Prüfung in der globalen Zone aktiviert und die nicht globale Zone gebootet wurde. Der Zonenadministrator der nicht globalen Zone hat die Prüfdateien der Zone konfiguriert und startet anschließend den Prüfdämon in der Zone.

zone1# svcadm enable svc:/system/auditd

So deaktivieren Sie den Prüfservice

Wenn der Prüfservice nicht mehr benötigt werden sollte, wird durch dieses Verfahren das System in den Status vor dem Aktivieren der Prüfung zurückversetzt. Bei der Prüfung nicht globaler Zonen werden die zugehörigen Prüfservices ebenfalls deaktiviert.

---

Achtung - Durch diesen Befehl wird die Gerätezuordnung ebenfalls deaktiviert. Führen Sie diesen Befehl nicht aus, wenn Sie Geräte zuordnen möchten. Weitere Informationen zum Deaktivieren der Prüfung und Beibehalten der Gerätezuordnung erhalten Sie unter Beispiel 30-21.

---

1. Melden Sie sich als Superuser an und schalten Sie das System in den Einzelbenutzermodus.

   % su
   Password: <Type root password>
   # init S

   Weitere Informationen erhalten Sie auf der Manpage init(1M).

2. Führen Sie das Skript aus, um die Prüfung zu deaktivieren.

   Wechseln Sie in das Verzeichnis /etc/security und führen Sie das Skript bsmunconv aus.

   # cd /etc/security
   # ./bsmunconv

   Eine weitere Auswirkung des Skripts ist die Deaktivierung der Gerätezuordnung.

   Weitere Informationen zu den gesamten Auswirkungen des Skripts bsmunconv erhalten Sie auf der Manpage bsmconv(1M).

3. Schalten Sie das System in den Mehrbenutzermodus.

   # init 6

Beispiel 30-21 Deaktivieren der Prüfung und Beibehalten der Gerätezuordnung

In diesem Beispiel hält der Prüfservice die Erfassung der Datensätze an, die Gerätezuordnung wird jedoch fortgesetzt. Alle Werte der Einträge flags, naflags und plugin in der Datei audit_control sowie alle Benutzereinträge in der Datei audit_user werden entfernt.

## audit_control file
flags:
naflags:

## audit_user file

Der Dämon auditd wird ausgeführt, aber es werden keine Prüfdatensätze gespeichert.

Beispiel 30-22 Deaktivieren der Prüfung für einzelne Zonen

In diesem Beispiel wird die Ausführung des Prüfservice in zone1 angehalten; in dieser Zone ist der Prüfservice deaktiviert. Die Gerätezuordnung wird beibehalten. Wenn dieser Befehl in der globalen Zone ausgeführt wird und die Prüfrichtlinie perzone nicht eingerichtet ist, wird die Prüfung für alle Zonen und nicht nur für die globale Zone deaktiviert.

zone1 # audit -t

So aktualisieren Sie den Prüfservice

Durch dieses Verfahren wird der Dämon auditd erneut gestartet, wenn Sie nach dem Ausführen des Dämons Änderungen an den Prüfkonfigurationsdateien vorgenommen haben.

1. Nehmen Sie eine Rolle an, die das Berechtigungsprofil "Audit Control" beinhaltet, oder melden Sie sich als Superuser an.

   Informationen zum Erstellen einer Rolle, die das Berechtigungsprofil "Audit Control" beinhaltet und zum Zuweisen dieser Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).

2. Wählen Sie den entsprechenden Befehl.
   • Wenn Sie die Zeile naflags in der Datei audit_control bearbeiten, ändern Sie die Kernel-Maske für nicht zuweisbare Ereignisse.

     $ /usr/sbin/auditconfig -aconf

     Sie können auch erneut booten.

   • Wenn Sie andere Zeilen in der Datei audit_control ändern, sollte die Datei audit_control erneut gelesen werden.

     Der Prüfdämon führt eine interne Speicherung der Informationen aus der Datei audit_control durch. Um die neuen Informationen zu verwenden, booten Sie entweder das System erneut oder weisen Sie das Lesen der geänderten Datei durch den Prüfdämon an.

     $ /usr/sbin/audit -s

     ---

     Hinweis - Die Prüfdatensätze werden basierend auf der Prüfvorauswahlmaske generiert, die den einzelnen Prozessen zugewiesen ist. Durch Ausführen von audit -s werden die Masken in den vorhandenen Prozessen nicht geändert. Um die Vorauswahlmaske für einen vorhandenen Prozess zu ändern, müssen Sie den Prozess erneut starten. Sie können auch erneut booten.

     ---

     Durch den Befehl audit -s wird der Prüfdämon angewiesen, das Verzeichnis und die Werte für "minfree" aus der Datei audit_control erneut zu lesen. Der Befehl ändert die Generierung der Vorauswahlmaske für Prozesse, die durch nachfolgende Anmeldungen ausgelöst wurden.

   • Wenn Sie die Datei audit_event oder audit_class während der Ausführung des Prüfdämons ändern, aktualisieren Sie den Prüfservice.

     Lesen Sie die geänderten Zuordnungen zwischen Ereignissen und Klassen in das System, und stellen Sie sicher, dass die Benutzer, die den Rechner verwenden, ordnungsgemäß geprüft werden.

     $ auditconfig -conf
     $ auditconfig -setumask auid classes

     auid

     Entspricht der Benutzer-ID

     classes

     Entsprechen den im Voraus ausgewählten Prüfklassen

     Ein Beispiel erhalten Sie unter So ändern Sie die Vorauswahlmaske eines Benutzers.

   • Weitere Informationen zum Ändern einer Prüfrichtlinie bei einem ausgeführten System finden Sie unter Beispiel 30-17.

Beispiel 30-23 Neustarten des Prüfdämons

In diesem Beispiel wird das System in den Einzelbenutzermodus und anschließend zurück in den Mehrbenutzermodus geschaltet. Wenn das System zurück in den Mehrbenutzermodus geschaltet wird, werden die geänderten Prüfkonfigurationsdateien in das System gelesen.

# init S
# init 6