この手順では、すでにログインしているユーザーを、システム全体の監査事前選択マスクの変更について監査する方法について説明します。通常、ログアウトしてから再度ログインするようにユーザーに指示することで、このタスクを完了できます。また、Process Management 権利プロファイルが割り当てられている役割で、kill コマンドを使用すると、アクティブなセッションを手動で終了できます。新しいセッションでは、新しい事前選択マスクが継承されます。
ただし、ユーザーセッションの終了が実用的でない場合もあります。代わりに、auditconfig コマンドを使用すれば、ログインしている各ユーザーの事前選択マスクを動的に変更できます。
次の手順では、次のコマンドを使用して、システム全体の監査事前選択マスクを lo から lo,ex に変更したことが前提となっています。
# auditconfig -setflags lo,ex
始める前に
Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。ユーザーセッションを終了するには、Process Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
# who -a jdoe - vt/2 Jan 25 07:56 4:10 1597 (:0) jdoe + pts/1 Jan 25 10:10 . 1706 (:0.0) ... jdoe + pts/2 Jan 25 11:36 3:41 1706 (:0.0)
# auditconfig -getpinfo 1706 audit id = jdoe(1234) process preselection mask = lo(0x1000,0x1000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 103203403
# auditconfig -setpmask 1706 lo,ex /* for this process */ # auditconfig -setumask jdoe lo,ex /* for this user */ # auditconfig -setsmask 103203403 lo,ex /* for this session */
たとえば、マスクを変更する前に存在していたプロセスを確認します。
# auditconfig -getpinfo 1706 audit id = jdoe(1234) process preselection mask = ex,lo(0x40001000,0x40001000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 103203403