目標が、/etc/passwd や /etc/default ディレクトリ内のファイルなどの、限られた数のファイルに対するファイル書き込みをログに記録することである場合は、auditreduce コマンドを使用してこれらのファイルを見つけることができます。
始める前に
root 役割は、この手順内のすべてのタスクを実行できます。
管理権利が組織内に分散している場合は、次の点に注意してください。
Audit Configuration 権利プロファイルを持つ管理者は、auditconfig コマンドを実行できます。
Audit Review 権利プロファイルを持つ管理者は、auditreduce コマンドを実行できます。
監査フラグを割り当てることができるのは、root 役割だけです。
詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
fw クラスを監査します。
fw クラスをユーザーまたは役割の監査フラグに追加すると、このクラスをシステム全体の監査事前選択マスクに追加する場合に比べて、生成されるレコードが少なくなります。次の手順のいずれかを実行します。
fw クラスを特定の役割に追加します。
# rolemod -K audit_flags=fw:no root # rolemod -K audit_flags=fw:no sysadm # rolemod -K audit_flags=fw:no auditadm # rolemod -K audit_flags=fw:no netadm
fw クラスをシステム全体のフラグに追加します。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,fw user default audit flags = lo,fw(0x1002,0x1002)
成功したファイル書き込みを監査します。
成功を監査すると、失敗と成功を監査する場合に比べて、生成されるレコードが少なくなります。次の手順のいずれかを実行します。
+fw フラグを特定の役割に追加します。
# rolemod -K audit_flags=+fw:no root # rolemod -K audit_flags=+fw:no sysadm # rolemod -K audit_flags=+fw:no auditadm # rolemod -K audit_flags=+fw:no netadm
+fw フラグをシステム全体のフラグに追加します。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,+fw user default audit flags = lo,+fw(0x1002,0x1000)
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
auditreduce コマンドは、file 引数のすべての出現を監査証跡で検索します。このコマンドにより、接尾辞 filechg を持つバイナリファイルが作成されます。このファイルには、必要なファイルのパスを含むすべてのレコードが含まれています。–o file= pathname オプションの構文については、auditreduce(1M) のマニュアルページを参照してください。
# praudit *filechg