この手順を使用して設定したユーザー固有の監査特性は、システム用に事前選択されたクラスと組み合わされます。プロセスの監査特性で説明されているように、この組み合わせによってユーザーの監査マスクが決定されます。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ...
# userattr audit_flags adoe # userattr audit_flags jdoe
たとえば、ユーザーのサブセットの権利を定義する権利プロファイルを作成できます。その権利プロファイルが割り当てられているユーザーは同様に監査されます。
# usermod -K audit_flags=fw:no jdoe
audit_flags キーワードの形式は always-audit:never-audit です。
このユーザーについて監査される監査クラスを一覧表示します。
監査イベントがシステム全体で監査される場合でも、そのユーザーについて監査されることのない監査クラスを一覧表示します。
複数の監査クラスを指定するには、クラスをコンマで区切ります。詳細は、audit_flags(5) のマニュアルページを参照してください。
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
ユーザーまたは役割に Audited System Administrator 権利プロファイルを割り当てた場合、そのユーザーまたは役割は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられた権利の検索順序で説明されている検索順序に従ってこれらのフラグについて監査されます。
この例では、すべてのユーザーの監査事前選択マスクは次のとおりです。
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
管理者を除き、どのユーザーもログインしていません。
AUE_PFEXEC 監査イベントのシステムリソースへの影響を軽減するために、管理者は、このイベントをシステムレベルでは監査しません。代わりに、管理者は、ユーザー jdoe の pf クラスを事前選択します。pf クラスは、使用例 15で作成されます。
# usermod -K audit_flags=pf:no jdoe
userattr コマンドによって、この追加が表示されます。
# userattr audit_flags jdoe pf:no
ユーザー jdoe がログインしたとき、jdoe の監査事前選択マスクは、audit_flags 値とシステムのデフォルト値の組み合わせになります。289 は、jdoe のログインシェルの PID です。
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403使用例 6 1 人のユーザーに関する監査事前選択の例外を変更する
この例では、すべてのユーザーの監査事前選択マスクは次のとおりです。
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
管理者を除き、どのユーザーもログインしていません。
管理者は、jdoe ユーザーに関する失敗した ss イベントを収集しないことを決定しました。
# usermod -K audit_flags=^-ss:no jdoe
userattr コマンドによって、この例外が表示されます。
# userattr audit_flags jdoe ^-ss:no
ユーザー jdoe がログインしたとき、jdoe の監査事前選択マスクは、audit_flags 値とシステムのデフォルト値の組み合わせになります。289 は、jdoe のログインシェルの PID です。
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403使用例 7 選択されたユーザーを監査する (システム全体の監査はなし)
この例では、選択された 4 人のユーザーのシステム上でのログインと役割活動が監査されます。システムに対して監査クラスは事前選択されていません。
最初に、管理者は、システム全体のフラグをすべて削除します。
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
次に、管理者は、4 人のユーザーに対して 2 つの監査クラスを事前選択します。pf クラスは、使用例 15で作成されます。
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
次に、管理者は、root 役割に対して pf クラスを事前選択します。
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
不当な侵入を記録し続けるために、管理者は、ユーザーに起因しないログインの監査を変更しません。
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)使用例 8 ユーザーの監査フラグを削除する
次の例では、管理者がユーザー固有の監査フラグをすべて削除します。現在ログインしているユーザーの既存のプロセスが引き続き監査されます。
管理者は、audit_flags キーワードに値を設定せずに usermod コマンドを実行します。
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
次に、管理者はこの削除を確認します。
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoe使用例 9 ユーザーのグループに対する権利プロファイルを作成する
管理者は、サイトにある管理上の権利プロファイルのすべてで pf クラスが明示的に監査されるようにしたいと考えています。割り当てを予定している権利プロファイルごとに、管理者は、監査フラグを含むサイト固有のバージョンを LDAP 内に作成します。
最初に、管理者は既存の権利プロファイルを複製し、次に、名前を変更して監査フラグを追加します。
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
使用を予定している権利プロファイルごとにこの手順を繰り返したあと、管理者は、Wifi Management プロファイル内の情報を一覧表示します。
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf