Les caractéristiques d'audit propres à l'utilisateur définies dans cette procédure sont combinées aux classes présélectionnées pour le système. Réunies, elles déterminent le masque d'audit de l'utilisateur, tel que décrit à la section Caractéristiques de l'audit de processus.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ...
# userattr audit_flags adoe # userattr audit_flags jdoe
Par exemple, vous pouvez créer un profil de droits qui définit les droits d'un sous-ensemble de vos utilisateurs. Les utilisateurs auxquels ce profil de droits est affecté font l'objet d'un audit identique.
# usermod -K audit_flags=fw:no jdoe
Le format du mot-clé audit_flags est always-audit:never-audit.
Répertorie les classes d'audit qui font l'objet d'un audit pour cet utilisateur. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^). Les classes qui sont ajoutées aux classes à l'échelle du système ne sont pas précédées d'un caret.
Répertorie les classes d'audit qui ne font jamais l'objet d'un audit pour l'utilisateur, même si ces événements d'audit sont audités à l'échelle du système. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^).
Pour spécifier plusieurs classes d'audit, séparez les classes par une virgule. Pour plus d'informations, reportez-vous à la page de manuel audit_flags(5).
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
Lorsque vous affectez le profil de droits Audited System Administrator (administrateur de système audité) à un utilisateur ou à un rôle, celui-ci fait l'objet d'un audit pour ces indicateurs, en fonction de l'ordre de recherche décrit à la section Ordre de recherche pour Assigned Rights du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Aucun utilisateur, sauf l'administrateur, n'est connecté.
Pour réduire l'impact de l'événement d'audit AUE_PFEXEC sur les ressources système, l'administrateur n'effectue pas d'audit de cet événement au niveau du système. Au lieu de cela, l'administrateur présélectionne la classe pf pour un utilisateur, jdoe. La classe pf est créée dans l'Example 3–15.
# usermod -K audit_flags=pf:no jdoe
La commande userattr affiche l'ajout.
# userattr audit_flags jdoe pf:no
Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403Exemple 3-6 Modification de l'exception de présélection d'audit pour un utilisateur
Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Aucun utilisateur, sauf l'administrateur, n'est connecté.
L'administrateur décide de ne pas collecter les événements ss qui ont échoué pour l'utilisateur jdoe.
# usermod -K audit_flags=^-ss:no jdoe
La commande userattr affiche l'exception.
# userattr audit_flags jdoe ^-ss:no
Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403Exemple 3-7 Audit des utilisateurs sélectionnés, pas d'audit à l'échelle du système
Dans cet exemple, les activités de connexion et de rôle de quatre utilisateurs sélectionnés sont auditées sur ce système. Aucune classe d'audit n'est présélectionnée pour le système.
Tout d'abord, l'administrateur supprime tous les indicateurs à l'échelle du système.
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
Ensuite, il présélectionne deux classes d'audit pour les quatre utilisateurs. La classe pf est créée dans l'Example 3–15.
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
Ensuite, l'administrateur présélectionne la classe pf pour le rôle root.
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
Pour continuer d'enregistrer l'intrusion injustifiée, l'administrateur ne change pas l'audit des connexions non attribuables.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)Exemple 3-8 Suppression des indicateurs d'audit d'un utilisateur
Dans l'exemple suivant, l'administrateur supprime tous les indicateurs d'audit spécifiques à l'utilisateur. Les processus existants d'utilisateurs qui sont actuellement connectés continuent à faire l'objet d'un audit.
L'administrateur exécute la commande usermod avec le mot-clé audit_flags défini sur aucune valeur.
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
Ensuite, l'administrateur vérifie la suppression.
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoeExemple 3-9 Création d'un profil de droits pour un groupe d'utilisateurs
L'administrateur souhaite que tous les profils de droits d'administration du site auditent explicitement la classe pf. Pour chaque profil de droits à affecter, l'administrateur crée une version spécifique au site dans LDAP, qui inclut les indicateurs d'audit.
Tout d'abord, l'administrateur clone un profil de droits existant, puis change le nom et ajoute des indicateurs d'audit.
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
Après avoir reproduit cette procédure pour chaque profil de droits à utiliser, l'administrateur répertorie les informations dans le profil Wifi Management (gestion Wifi).
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf