可将这些特定于用户且借助于本过程设置的审计特征与系统的预选类结合使用。它们能共同决定用户的审计掩码,如进程审计特征中所示。
开始之前
您必须承担 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ...
# userattr audit_flags adoe # userattr audit_flags jdoe
例如,您可以创建一个权限配置文件,用以定义您的一部分用户的权限。对于指定有该权限配置文件的用户,将以相同的方式对其进行审计。
# usermod -K audit_flags=fw:no jdoe
audit_flags 关键字的格式为 always-audit:never-audit。
列出针对此用户审计的审计类。对系统范围类的修改带有插入记号 (^) 前缀。添加到系统范围类的类不带插入记号前缀。
列出从不针对用户审计的审计类,即使在系统范围内审计这些审计事件也是如此。对系统范围类的修改带有插入记号 (^) 前缀。
要指定多个审计类,请使用逗号分隔类。有关更多信息,请参见 audit_flags(5) 手册页。
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
将 "Audited System Administrator"(审计的系统管理员)权限配置文件指定给用户或角色时,按在 Oracle Solaris 11.2 中确保用户和进程的安全 中的所指定权限的搜索顺序中所述的搜索顺序针对这些标志审计该用户或角色。
在本示例中,所有用户的审计预选掩码如下:
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
除管理员以外没有任何用户登录。
为了降低 AUE_PFEXEC 审计事件对系统资源的影响,管理员将不在系统级别审计此事件。相反,管理员将为用户 jdoe 预选 pf 类。pf 类是在Example 3–15 中创建的。
# usermod -K audit_flags=pf:no jdoe
userattr 命令显示添加内容。
# userattr audit_flags jdoe pf:no
用户 jdoe 登录时,jdoe 的审计预选掩码为 audit_flags 值和系统缺省值的组合。289 是 jdoe 的登录 shell 的 PID。
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403示例 3-6 修改单个用户的审计预选例外
在本示例中,所有用户的审计预选掩码如下:
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
除管理员以外没有任何用户登录。
管理员决定不为 jdoe 用户收集失败的 ss 事件。
# usermod -K audit_flags=^-ss:no jdoe
userattr 命令显示例外。
# userattr audit_flags jdoe ^-ss:no
用户 jdoe 登录时,jdoe 的审计预选掩码为 audit_flags 值和系统缺省值的组合。289 是 jdoe 的登录 shell 的 PID。
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403示例 3-7 审计选定用户,非系统范围的审计
在本示例中,审计四个选定用户在系统上的登录和角色活动。没有为系统预选审计类。
首先,管理员删除所有系统范围的标志。
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
然后,管理员为这四个用户预选两个审计类。pf 类是在Example 3–15 中创建的。
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
然后,管理员为 root 角色预选 pf 类。
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
为了继续记录未经授权的入侵,管理员将不更改无归属登录的审计。
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)示例 3-8 删除用户的审计标志
在以下示例中,管理员删除所有用户特定的审计标志。继续审计当前已登录用户的现有进程。
管理员运行 usermod 命令,但不为 audit_flags 关键字设置任何值。
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
然后,管理员验证删除。
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoe示例 3-9 为用户组创建权限配置文件
管理员需要站点的所有管理权限配置文件才能显式审计 pf 类。对于要指定的每个权限配置文件,管理员都会在包含审计标志的 LDAP 中创建特定于站点的版本。
首先,管理员克隆现有权限配置文件,然后更改名称并添加审计标志。
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
针对要使用的每个权限配置文件重复此过程之后,管理员将列出 Wifi Management(Wifi 管理)配置文件中的信息。
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf