如果您的目标是记录对有限数目的文件(如 /etc/passwd 和 /etc/default 目录下的文件)的写入情况,请使用 auditreduce 命令找到这些文件。
开始之前
root 角色可以执行此过程中的所有任务。
如果您的组织中的管理权限是分散的,请注意以下事项:
具有 "Audit Configuration"(审计配置)权限配置文件的管理员可以运行 auditconfig 命令。
具有 "Audit Review"(审计查看)权限配置文件的管理员可以运行 auditreduce 命令。
只有 root 角色可以指定审计标志。
有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
审计 fw 类。
将 fw 类添加到用户或角色的审计标志时生成的记录少于将该类添加到系统范围的审计预选掩码时生成的记录。执行下列步骤之一:
将 fw 类添加到特定角色。
# rolemod -K audit_flags=fw:no root # rolemod -K audit_flags=fw:no sysadm # rolemod -K audit_flags=fw:no auditadm # rolemod -K audit_flags=fw:no netadm
将 fw 类添加到系统范围的标志。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,fw user default audit flags = lo,fw(0x1002,0x1002)
审计成功的文件写入。
审计成功事件时生成的记录少于同时审计失败事件和成功事件时生成的记录。执行下列步骤之一:
将 +fw 标志添加到特定角色。
# rolemod -K audit_flags=+fw:no root # rolemod -K audit_flags=+fw:no sysadm # rolemod -K audit_flags=+fw:no auditadm # rolemod -K audit_flags=+fw:no netadm
将 +fw 标志添加到系统范围的标志。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,+fw user default audit flags = lo,+fw(0x1002,0x1000)
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
auditreduce 命令在审计迹中搜索所有 file 参数实例。该命令创建一个后缀为 filechg 的二进制文件,此文件包含了包括所需文件路径的所有记录。有关 –o file= pathname 选项的语法,请参见 auditreduce(1M) 手册页。
# praudit *filechg