Estas características de auditoría específicas del usuario que se establecen mediante este procedimiento se combinan con las clases preseleccionadas para el sistema. Juntas determinan la máscara de auditoría del usuario, como se describe en Características del proceso de auditoría.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ...
# userattr audit_flags adoe # userattr audit_flags jdoe
Por ejemplo, puede crear un perfil de derechos que define los derechos de un subconjunto de sus usuarios. Los usuarios que tengan asignado ese perfil de derechos se auditan de forma idéntica.
# usermod -K audit_flags=fw:no jdoe
El formato de la palabra clave audit_flags es always-audit:never-audit.
Muestra las clases de auditoría que se van a auditar para este usuario. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^). Las clases que se agregan a las clases de todo el sistema no están precedidas por un signo de intercalación.
Muestra las clases de auditoría que nunca se van a auditar para el usuario, incluso si estos eventos de auditoría se auditan en todo el sistema. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^).
Para especificar varias clases de auditoría, separe las clases con comas. Para obtener más información, consulte la página del comando man audit_flags(5).
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
Cuando asigna el perfil de derechos de administrador del sistema auditado a un usuario o un rol, ese usuario o rol se audita en busca de esos indicadores, según el orden de búsqueda que se describe en Orden de búsqueda para derechos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Ningún usuario, excepto el administrador, inicia sesión.
Para reducir el impacto del evento de auditoría AUE_PFEXEC en los recursos del sistema, el administrador no audita este evento en el nivel del sistema. En su lugar, el administrador selecciona previamente la clase pf para un usuario, jdoe. La clase pf se crea en el Example 3–15.
# usermod -K audit_flags=pf:no jdoe
El comando userattr muestra la agregación.
# userattr audit_flags jdoe pf:no
Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403Ejemplo 3-6 Modificación de excepción de preselección de auditoría para un usuario
En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Ningún usuario, excepto el administrador, inicia sesión.
El administrador decide no recopilar eventos ss fallidos para el usuario jdoe.
# usermod -K audit_flags=^-ss:no jdoe
El comando userattr muestra la excepción.
# userattr audit_flags jdoe ^-ss:no
Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403Ejemplo 3-7 Auditoría de usuarios seleccionados, sin auditoría en todo el sistema
En este ejemplo, se auditan el inicio de sesión y las actividades de rol de cuatro usuarios seleccionados en el sistema. No se preseleccionan clases de auditoría para el sistema.
En primer lugar, el administrador elimina todos los indicadores en todo el sistema.
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
A continuación, el administrador selecciona previamente dos clases de auditoría para los cuatro usuarios. La clase pf se crea en el Example 3–15.
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
A continuación, el administrador selecciona previamente la clase pf para el rol root.
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
Para registrar intrusiones injustificadas, el administrador no cambia la auditoría de inicios de sesión no atribuibles.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)Ejemplo 3-8 Eliminación de indicadores de auditoría de un usuario
En el siguiente ejemplo, el administrador elimina todos los indicadores de auditoría específicos de usuario. Los procesos existentes de usuarios que han iniciado sesión actualmente siguen siendo auditados.
El administrador ejecuta el comando usermod con la palabra clave audit_flags establecida en ningún valor.
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
A continuación, el administrador verifica la eliminación.
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoeEjemplo 3-9 Creación de un perfil de derechos para un grupo de usuarios
El administrador desea que todos los perfiles de derechos administrativos del sitio auditen explícitamente la clase pf. Para cada perfil de derechos que se va a asignar, el administrador crea una versión específica de sitio en LDAP que incluye indicadores de auditoría.
En primer lugar, el administrador clona un perfil de derechos existente y, luego, cambia el nombre y agrega indicadores de auditoría.
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
Después de repetir este procedimiento para cada perfil de derechos que se va a utilizar, el administrador enumera la información en el perfil de gestión de Wi-Fi.
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf