站点安全策略通常要求您审计管理操作。116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as 审计事件捕获这些操作。cusa 元类提供适合与角色结合使用的一组事件,是审计管理操作时的另一个选项。有关更多信息,请查看 /etc/security/audit_class 文件中的注释。
示例 5-5 使用两个角色配置审计在本示例中,通过两个管理员来实现站点安全管理人员的审计配置计划。在该计划中,对所有用户使用 pf 类,为单个角色指定 cusa 元类。root 角色将审计标志指定给各个角色。第一个管理员配置审计,第二个管理员启用新配置。
第一个管理员指定有 "Audit Configuration"(审计配置)权限配置文件。此管理员查看当前审计配置:
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
因为 pf 类不包括 lo 类,该管理员将该类添加到系统配置。
# auditconfig -setflags lo,pf
要将新的审计配置读入内核,指定有 "Audit Control"(审计控制)权限配置文件的管理员需要刷新审计服务。
# audit -s