Si tiene como objetivo registrar las escrituras de los archivos en comparación con un número limitado de archivos, como /etc/passwd y los archivos en el directorio /etc/default, puede utilizar el comando auditreduce para ubicar los archivos.
Antes de empezar
El rol root puede realizar cada tarea en este procedimiento.
Si tienen derechos administrativos distribuidos en su organización, tenga en cuenta lo siguiente:
Un administrador con el perfil de derechos de configuración de auditoría puede ejecutar el comando auditconfig.
Un administrador con el perfil de derechos de revisión de auditoría puede ejecutar el comando auditreduce.
Sólo el rol root puede asignar indicadores de auditoría.
Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Auditoría de la clase fw.
Agregar la clase fw a los indicadores de auditoría de un usuario o rol genera menos registros que agregar la clase a la máscara de preselección de auditoría en todo el sistema. Lleve a cabo uno de los pasos siguientes:
Agregue la clase fw a roles concretos.
# rolemod -K audit_flags=fw:no root # rolemod -K audit_flags=fw:no sysadm # rolemod -K audit_flags=fw:no auditadm # rolemod -K audit_flags=fw:no netadm
Agregue la clase fw a los indicadores de todo el sistema.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,fw user default audit flags = lo,fw(0x1002,0x1002)
Audite escrituras con éxito de archivos.
Auditar éxitos genera menos registros que auditar fallos y éxitos. Lleve a cabo uno de los pasos siguientes:
Agregue la clase +fw a roles concretos.
# rolemod -K audit_flags=+fw:no root # rolemod -K audit_flags=+fw:no sysadm # rolemod -K audit_flags=+fw:no auditadm # rolemod -K audit_flags=+fw:no netadm
Agregue la clase +fw a los indicadores de todo el sistema.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,+fw user default audit flags = lo,+fw(0x1002,0x1000)
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
El comando auditreduce busca en la pista de auditoría todas las instancias del argumento file. El comando crea un archivo binario con el sufijo filechg que contiene todos los registros que incluyen la ruta de los archivos de interés. Consulte la página del comando man auditreduce(1M) para conocer la sintaxis de la opción –o file= pathname.
# praudit *filechg