사용자의 감사 특성을 구성하는 방법

이 절차에서 설정하는 이러한 사용자별 감사 특성은 시스템에 대해 사전 선택된 클래스와 결합됩니다. 프로세스 감사 특성에 설명된 대로 이러한 특성을 통해 사용자의 감사 마스크를 확인할 수 있습니다.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. (옵션) 기존 사용자에 대해 현재 선택된 감사 클래스를 표시합니다.
   1. 사용자 목록을 표시합니다.

      # who
      adoe    pts/1        Oct 10 10:20	(:0.0)
      adoe    pts/2        Oct 10 10:20	(:0.0)
      jdoe    pts/5        Oct 12 12:20	(:0.0)
      jdoe    pts/6        Oct 12 12:20	(:0.0)
      ...
      

   2. 각 사용자의 audit_flags 속성값을 표시합니다.

      # userattr audit_flags adoe
      # userattr audit_flags jdoe

2. user_attr 또는 prof_attr 데이터베이스에서 감사 플래그를 설정합니다.

   예를 들어, 사용자의 하위 세트에 대한 권한을 정의하는 권한 프로파일을 만들 수 있습니다. 해당 권한 프로파일이 지정된 사용자는 동일하게 감사됩니다.

   • 사용자에 대한 감사 플래그를 설정하려면 usermod 명령을 사용합니다.

     # usermod -K audit_flags=fw:no jdoe

     audit_flags 키워드는 always-audit:never-audit입니다.

     always-audit

     이 사용자에 대해 감사되는 감사 클래스를 나열합니다. 시스템 전역 클래스에 대한 수정 앞에는 캐럿(^)이 붙습니다. 시스템 전역 클래스에 추가된 클래스 앞에는 캐럿이 붙지 않습니다.

     never-audit

     이러한 감사 이벤트가 시스템 전역으로 감사되더라도 사용자에 대해 감사되지 않는 감사 클래스를 나열합니다. 시스템 전역 클래스에 대한 수정 앞에는 캐럿(^)이 붙습니다.

     여러 감사 클래스를 지정하려면 클래스를 콤마로 구분합니다. 자세한 내용은 audit_flags(5) 매뉴얼 페이지를 참조하십시오.

   • 권한 프로파일에 대한 감사 플래그를 설정하려면 profiles 명령을 사용합니다.

     # profiles -p "System Administrator"
     profiles:System Administrator> set name="Audited System Administrator"
     profiles:Audited System Administrator> set always_audit=fw,as
     profiles:Audited System Administrator> end
     profiles:Audited System Administrator> exit

     Audited System Administrator 권한 프로파일을 사용자나 역할에 지정할 경우 해당 사용자나 역할은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 권한 검색 순서에 설명된 검색 순서에 따라 이러한 플래그에 대해 감사됩니다.

예 3-5  한 사용자에 대해 감사되는 이벤트 변경

이 예에서는 모든 사용자에 대한 감사 사전 선택 마스크가 다음과 같습니다.

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

관리자를 제외하고 로그인된 사용자가 없습니다.

시스템 리소스에 대한 AUE_PFEXEC 감사 이벤트의 영향을 줄이기 위해 관리자는 이 이벤트를 시스템 레벨에서 감사하지 않습니다. 대신 관리자는 사용자 jdoe에 대해 pf 클래스를 사전 선택합니다. pf 클래스는 Example 3–15에서 만들어졌습니다.

# usermod -K audit_flags=pf:no jdoe

userattr 명령은 추가를 표시합니다.

# userattr audit_flags jdoe
pf:no

사용자 jdoe가 로그인할 때 jdoe의 감사 사전 선택 마스크는 시스템 기본값과 audit_flags 값의 조합입니다. 289는 jdoe 로그인 셸의 PID입니다.

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

예 3-6  한 사용자에 대한 감사 사전 선택 예외 사항 수정

이 예에서는 모든 사용자에 대한 감사 사전 선택 마스크가 다음과 같습니다.

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

관리자를 제외하고 로그인된 사용자가 없습니다.

관리자는 jdoe 사용자에 대해 실패한 ss 이벤트를 수집하지 않도록 결정합니다.

# usermod -K audit_flags=^-ss:no jdoe

userattr 명령은 예외 사항을 표시합니다.

# userattr audit_flags jdoe
^-ss:no

사용자 jdoe가 로그인할 때 jdoe의 감사 사전 선택 마스크는 시스템 기본값과 audit_flags 값의 조합입니다. 289는 jdoe 로그인 셸의 PID입니다.

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = +ss,lo(0x11000,0x1000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

예 3-7  선택한 사용자 감사, 시스템 전역 감사 없음

이 예에서는 4명의 선택된 사용자에 대한 로그인 및 역할 작업이 시스템에서 감사됩니다. 시스템에 대해 사전 선택된 감사 클래스는 없습니다.

먼저 관리자는 모든 시스템 전역 플래그를 제거합니다.

# auditconfig -setflags no
user default audit flags = no(0x0,0x0)

그런 다음 관리자는 4명의 사용자에 대해 2개의 감사 클래스를 사전 선택합니다. pf 클래스는 Example 3–15에서 만들어졌습니다.

# usermod -K audit_flags=lo,pf:no jdoe
# usermod -K audit_flags=lo,pf:no kdoe
# usermod -K audit_flags=lo,pf:no pdoe
# usermod -K audit_flags=lo,pf:no zdoe

그런 다음 관리자는 root 역할에 대해 pf 클래스를 사전 선택합니다.

# userattr audit_flags root
# rolemod -K audit_flags=lo,pf:no root
# userattr audit_flags root
lo,pf:no

무단 침입 기록을 계속하기 위해 관리자는 지정 불가능한 로그인의 감사를 변경하지 않습니다.

# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)

예 3-8  사용자의 감사 플래그 제거

다음 예에서는 관리자가 모든 사용자별 감사 플래그를 제거합니다. 현재 로그인된 사용자의 기존 프로세스는 계속 감사됩니다.

관리자는 audit_flags 키워드를 no 값으로 설정하여 usermod 명령을 실행합니다.

# usermod -K audit_flags= jdoe
# usermod -K audit_flags= kdoe
# usermod -K audit_flags= ldoe

그런 다음 관리자는 제거를 확인합니다.

# userattr audit_flags jdoe
# userattr audit_flags kdoe
# userattr audit_flags ldoe

예 3-9  사용자 그룹에 대한 권한 프로파일 만들기

관리자는 사이트의 모든 관리 권한 프로파일이 pf 클래스를 명시적으로 감사하도록 하고자 합니다. 지정할 모든 권한 프로파일에 대해 관리자는 감사 플래그가 포함된 LDAP의 사이트별 버전을 만듭니다.

먼저, 관리자는 기존 권한 프로파일을 복제한 다음 이름을 변경하고 감사 플래그를 추가합니다.

# profiles -p "Network Wifi Management" -S ldap
profiles: Network Wifi Management> set name="Wifi Management"
profiles: Wifi Management> set desc="Audited wifi management"
profiles: Wifi Management> set audit_always=pf
profiles: Wifi Management> exit

사용할 모든 권한 프로파일에 대해 이 절차를 반복한 후 관리자는 Wifi Management 프로파일의 정보를 나열합니다.

# profiles -p "Wifi Management" -S ldap info
name=Wifi Management
desc=Audited wifi management
auths=solaris.network.wifi.config
help=RtNetWifiMngmnt.html
always_audit=pf