사이트 보안 정책에서는 대체로 관리 작업을 감사하도록 요구합니다. 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as 감사 이벤트는 이러한 작업을 캡처합니다. 역할에 사용하기에 적합한 이벤트 그룹을 제공하는 cusa 메타 클래스는 관리 작업을 감사할 때의 또 다른 옵션입니다. 자세한 내용은 /etc/security/audit_class 파일의 주석을 검토하십시오.
예 5-5 두 역할을 사용하여 감사 구성이 예에서는 두 관리자가 사이트 보안 담당자의 감사 구성 계획을 구현합니다. 계획은 모든 사용자에 대해 pf 클래스를 사용하고 개별 역할에 대해 cusa 메타 클래스를 지정하는 것입니다. root 역할이 역할에 감사 플래그를 지정합니다. 첫번째 관리자가 감사를 구성하고 두번째 관리자가 새 구성을 사용으로 설정합니다.
첫번째 관리자에게 Audit Configuration 권한 프로파일이 지정됩니다. 이 관리자는 현재 감사 구성을 봅니다.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
pf 클래스에는 lo 클래스가 포함되어 있지 않으므로 관리자가 시스템 구성에 클래스를 추가합니다.
# auditconfig -setflags lo,pf
새 감사 구성을 커널로 읽어오기 위해 Audit Control 권한 프로파일이 지정된 관리자가 감사 서비스를 새로 고칩니다.
# audit -s