Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Recherche des enregistrements d'audit concernant des modifications de fichiers spécifiques

Si vous avez l'intention de consigner les écritures d'un nombre limité de fichiers, par exemple, /etc/passwd et les fichiers du répertoire /etc/default, utilisez la commande auditreduce pour localiser les fichiers.

Avant de commencer

Le rôle root peut effectuer toutes les tâches de cette procédure.

    Si des droits d'administration sont répartis dans votre entreprise, notez les éléments suivants :

  • Un administrateur disposant du profil de droits Audit Configuration (configuration d'audit) peut exécuter la commande auditconfig.

  • Un administrateur disposant du profil de droits Audit Review (vérification d'audit) peut exécuter la commande auditreduce.

  • Seul le rôle root peut attribuer des indicateurs d'audit.

Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Effectuez l'une des étapes suivantes pour effectuer un audit des modifications apportées aux fichiers.

    • Effectuez un audit de la classe fw.

      L'ajout de la classe fw aux indicateurs d'audit d'un utilisateur ou d'un rôle génère moins d'enregistrements que l'ajout de cette classe au masque de présélection d'audit à l'échelle du système. Effectuez l'une des étapes suivantes :

      • Ajoutez la classe fw à des rôles spécifiques.

        # rolemod -K audit_flags=fw:no root
# rolemod -K audit_flags=fw:no sysadm
# rolemod -K audit_flags=fw:no auditadm
# rolemod -K audit_flags=fw:no netadm

      • Ajoutez la classe fw aux indicateurs à l'échelle du système.

        # auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)

# auditconfig -setflags lo,fw
user default audit flags = lo,fw(0x1002,0x1002)

    • Auditez les écritures sur fichiers réussies.

      L'audit des réussites génère un nombre inférieur d'enregistrements que l'audit des échecs et des réussites. Effectuez l'une des étapes suivantes :

      • Ajoutez l'indicateur +fw à des rôles spécifiques.

        # rolemod -K audit_flags=+fw:no root
# rolemod -K audit_flags=+fw:no sysadm
# rolemod -K audit_flags=+fw:no auditadm
# rolemod -K audit_flags=+fw:no netadm

      • Ajoutez l'indicateur +fw aux indicateurs à l'échelle du système.

        # auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)

# auditconfig -setflags lo,+fw
user default audit flags = lo,+fw(0x1002,0x1000)
  2. Obtenez les enregistrements d'audit pour des fichiers spécifiques à l'aide de la commande auditreduce. 
    # auditreduce -o file=/etc/passwd,/etc/default -O filechg

    La commande auditreduce effectue la recherche dans la piste d'audit pour toutes les instances de l'argument file. La commande crée un fichier binaire avec le suffixe filechg qui contient tous les enregistrements incluant le chemin d'accès aux fichiers concernés. Reportez-vous à la page de manuel auditreduce(1M) pour plus d'informations sur la syntaxe de l'option –o file= pathname.

  3. Lisez le fichier filechg à l'aide de la commande praudit. 
    # praudit *filechg
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant