しばしば、サイトのセキュリティーポリシーで管理アクションの監査が要求されることがあります。116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as 監査イベントはこのようなアクションを捕捉します。管理アクションを監査する際にもう 1 つのオプションとして、役割での使用に適したイベントグループを提供する cusa メタクラスがあります。詳細については、/etc/security/audit_class ファイルのコメントを参照してください。
使用例 44 2 つの役割を使用した監査の構成この例では、2 人の管理者がサイトセキュリティー担当者の監査構成計画を実装します。この計画では、すべてのユーザーに pf クラスを使用し、個別の役割に cusa メタクラスを指定します。root 役割は、監査フラグを役割に割り当てます。1 番目の管理者が監査を構成し、2 番目の管理者が新しい構成を有効にします。
1 番目の管理者に、Audit Configuration 権利プロファイルが割り当てられます。この管理者は現在の監査構成を表示します。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
pf クラスには lo クラスが含まれていないため、管理者はこのクラスをシステム構成に追加します。
# auditconfig -setflags lo,pf
新しい監査構成をカーネルに読み込むには、Audit Control 権利プロファイルが割り当てられているユーザーが、監査サービスをリフレッシュします。
# audit -s