Exige que la stratégie de sécurité du site pour effectuer l'audit souvent des actions d'administration. L'événement d'audit 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as capture ces actions. La métaclasse cusa, qui fournit un groupe d'événements qui ne sont adaptés pour être utilisés avec les rôles, est une autre solution pour gérer l'audit des actions d'administration. Pour plus d'informations, reportez-vous aux commentaires dans le fichier /etc/security/audit_class
Exemple 5-5 Utiliser deux rôles pour la configuration d'un auditDans cet exemple, deux administrateurs implémentent le plan de configuration d'audit du responsable local de la sécurité du site. Le plan consiste à utiliser la classe pf pour tous les utilisateurs et indiquer la métaclasse cusa pour les rôles individuels. Le rôle root affecte les indicateurs d'audit à des rôles. Le premier administrateur configure l'audit et la seconde permet la nouvelle configuration.
Le premier administrateur se voit attribuer le profil de droits Audit Configuration (configuration d'audit). Cet administrateur affiche la configuration d'audit en cours, procédez comme suit :
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
La classepf n'inclut pas la classe lo, l'administrateur ajoute la classe à la configuration système.
# auditconfig -setflags lo,pf
Pour lire la nouvelle configuration d'audit dans le noyau, l'administrateur disposant du profil de droits Audit Control (contrôle d'audit) actualise le service d'audit.
# audit -s