Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Modification de l'appartenance à une classe d'un événement d'audit

Vous pouvez être amené à modifier l'appartenance à une classe d'un événement d'audit pour réduire la taille d'une classe d'audit ou pour placer l'événement dans une classe à part.

Caution

Mise en garde  -  Ne commentez jamais les événements dans le fichier audit_event. Ce fichier est utilisé par la commande praudit binaire pour lire les fichiers d'audit binaires. Les fichiers d'audit archivés peuvent contenir des événements répertoriés dans le fichier.

Lorsque vous reconfigurez les mappages événements-classes d'audit d'un système, copiez la modification sur tous les systèmes audités. Il est vivement conseillé de modifier les mappages événements-classes avant que les premiers utilisateurs ne se connectent.

Remarque -  Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Conseil  -  Dans Oracle Solaris, vous pouvez créer votre propre package contenant des fichiers et remplacer les packages Oracle Solaris par les fichiers personnalisés de votre site. Lorsque vous définissez l'attribut preserve sur true dans votre package, les sous-commandes pkg, telles que verify, fix, revert, etc., sont exécutées par rapport à vos packages. Pour plus d'informations, reportez-vous aux pages de manuel pkg(1) et pkg(5).

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc/security/audit_event. Par défaut, seul le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. (Facultatif) Enregistrez une copie de sauvegarde du fichier audit_event. 
    # cp /etc/security/audit_event /etc/security/audit_event.orig
  2. Modifiez la classe à laquelle appartiennent des événements particuliers en modifiant la valeur class-list de ces événements.

    Chaque entrée possède le format suivant :

    number:name:description:class-list
    number

    ID de l'événement d'audit.

    name

    Nom de l'événement d'audit.

    description

    En règle générale, l'appel système ou l'exécutable qui déclenche la création d'un enregistrement d'audit.

    class-list

    Liste de classes d'audit séparées par des virgules.

Exemple 3-16  Mappage d'événements d'audit existants sur une nouvelle classe

Dans cet exemple, un événement d'audit existant est mappé à la nouvelle classe créée dans l'Example 3–15. Par défaut, l'événement d'audit AUE_PFEXEC est mappé à plusieurs classes d'audit. En créant la nouvelle classe, l'administrateur peut auditer les événements AUE_PFEXEC sans auditer les événements dans les autres classes.

# grep pf /etc/security/audit_class
0x0100000000000000:pf:profile command
# grep AUE_PFEXEC /etc/security/audit_event
116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa
# pfedit /etc/security/audit_event
#116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa
116:AUE_PFEXEC:execve(2) with pfexec enabled:pf
# auditconfig -setflags lo,pf
user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant