Configuration des caractéristiques d'audit d'un utilisateur

Les caractéristiques d'audit propres à l'utilisateur définies dans cette procédure sont combinées aux classes présélectionnées pour le système. Réunies, elles déterminent le masque d'audit de l'utilisateur, tel que décrit à la section Caractéristiques de l'audit de processus.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

1. (Facultatif) Affichez les classes d'audit qui sont actuellement sélectionnées pour les utilisateurs existants.
   1. Affichez la liste des utilisateurs.

      # who
      adoe    pts/1        Oct 10 10:20	(:0.0)
      adoe    pts/2        Oct 10 10:20	(:0.0)
      jdoe    pts/5        Oct 12 12:20	(:0.0)
      jdoe    pts/6        Oct 12 12:20	(:0.0)
      ...
      

   2. Affichez la valeur d'attribut audit_flags de chaque utilisateur.

      # userattr audit_flags adoe
      # userattr audit_flags jdoe

2. Définissez les indicateurs d'audit dans la base de données user_attr ou prof_attr.

   Par exemple, vous pouvez créer un profil de droits qui définit les droits d'un sous-ensemble de vos utilisateurs. Les utilisateurs auxquels ce profil de droits est affecté font l'objet d'un audit identique.

   • Pour définir les indicateurs d'audit d'un utilisateur, utilisez la commande usermod.

     # usermod -K audit_flags=fw:no jdoe

     Le format du mot-clé audit_flags est always-audit:never-audit.

     always-audit

     Répertorie les classes d'audit qui font l'objet d'un audit pour cet utilisateur. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^). Les classes qui sont ajoutées aux classes à l'échelle du système ne sont pas précédées d'un caret.

     never-audit

     Répertorie les classes d'audit qui ne font jamais l'objet d'un audit pour l'utilisateur, même si ces événements d'audit sont audités à l'échelle du système. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^).

     Pour spécifier plusieurs classes d'audit, séparez les classes par une virgule. Pour plus d'informations, reportez-vous à la page de manuel audit_flags(5).

   • Pour définir des indicateurs d'audit pour un profil de droits, utilisez la commande profiles.

     # profiles -p "System Administrator"
     profiles:System Administrator> set name="Audited System Administrator"
     profiles:Audited System Administrator> set always_audit=fw,as
     profiles:Audited System Administrator> end
     profiles:Audited System Administrator> exit

     Lorsque vous affectez le profil de droits Audited System Administrator (administrateur de système audité) à un utilisateur ou à un rôle, celui-ci fait l'objet d'un audit pour ces indicateurs, en fonction de l'ordre de recherche décrit à la section Ordre de recherche pour Assigned Rights du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Exemple 3-5  Modification des événements à auditer pour un utilisateur

Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Aucun utilisateur, sauf l'administrateur, n'est connecté.

Pour réduire l'impact de l'événement d'audit AUE_PFEXEC sur les ressources système, l'administrateur n'effectue pas d'audit de cet événement au niveau du système. Au lieu de cela, l'administrateur présélectionne la classe pf pour un utilisateur, jdoe. La classe pf est créée dans l'Example 3–15.

# usermod -K audit_flags=pf:no jdoe

La commande userattr affiche l'ajout.

# userattr audit_flags jdoe
pf:no

Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

Exemple 3-6  Modification de l'exception de présélection d'audit pour un utilisateur

Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Aucun utilisateur, sauf l'administrateur, n'est connecté.

L'administrateur décide de ne pas collecter les événements ss qui ont échoué pour l'utilisateur jdoe.

# usermod -K audit_flags=^-ss:no jdoe

La commande userattr affiche l'exception.

# userattr audit_flags jdoe
^-ss:no

Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = +ss,lo(0x11000,0x1000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

Exemple 3-7  Audit des utilisateurs sélectionnés, pas d'audit à l'échelle du système

Dans cet exemple, les activités de connexion et de rôle de quatre utilisateurs sélectionnés sont auditées sur ce système. Aucune classe d'audit n'est présélectionnée pour le système.

Tout d'abord, l'administrateur supprime tous les indicateurs à l'échelle du système.

# auditconfig -setflags no
user default audit flags = no(0x0,0x0)

Ensuite, il présélectionne deux classes d'audit pour les quatre utilisateurs. La classe pf est créée dans l'Example 3–15.

# usermod -K audit_flags=lo,pf:no jdoe
# usermod -K audit_flags=lo,pf:no kdoe
# usermod -K audit_flags=lo,pf:no pdoe
# usermod -K audit_flags=lo,pf:no zdoe

Ensuite, l'administrateur présélectionne la classe pf pour le rôle root.

# userattr audit_flags root
# rolemod -K audit_flags=lo,pf:no root
# userattr audit_flags root
lo,pf:no

Pour continuer d'enregistrer l'intrusion injustifiée, l'administrateur ne change pas l'audit des connexions non attribuables.

# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)

Exemple 3-8  Suppression des indicateurs d'audit d'un utilisateur

Dans l'exemple suivant, l'administrateur supprime tous les indicateurs d'audit spécifiques à l'utilisateur. Les processus existants d'utilisateurs qui sont actuellement connectés continuent à faire l'objet d'un audit.

L'administrateur exécute la commande usermod avec le mot-clé audit_flags défini sur aucune valeur.

# usermod -K audit_flags= jdoe
# usermod -K audit_flags= kdoe
# usermod -K audit_flags= ldoe

Ensuite, l'administrateur vérifie la suppression.

# userattr audit_flags jdoe
# userattr audit_flags kdoe
# userattr audit_flags ldoe

Exemple 3-9  Création d'un profil de droits pour un groupe d'utilisateurs

L'administrateur souhaite que tous les profils de droits d'administration du site auditent explicitement la classe pf. Pour chaque profil de droits à affecter, l'administrateur crée une version spécifique au site dans LDAP, qui inclut les indicateurs d'audit.

Tout d'abord, l'administrateur clone un profil de droits existant, puis change le nom et ajoute des indicateurs d'audit.

# profiles -p "Network Wifi Management" -S ldap
profiles: Network Wifi Management> set name="Wifi Management"
profiles: Wifi Management> set desc="Audited wifi management"
profiles: Wifi Management> set audit_always=pf
profiles: Wifi Management> exit

Après avoir reproduit cette procédure pour chaque profil de droits à utiliser, l'administrateur répertorie les informations dans le profil Wifi Management (gestion Wifi).

# profiles -p "Wifi Management" -S ldap info
name=Wifi Management
desc=Audited wifi management
auths=solaris.network.wifi.config
help=RtNetWifiMngmnt.html
always_audit=pf