だれが su コマンドを使用しているかをモニターする方法 - Oracle® Solaris 11.4 でのシステムおよび接続されたデバイスのセキュリティー保護

言語:

だれが `su` コマンドを使用しているかをモニターする方法

sulog ファイルには、ユーザーから root に切り替えるために使用される su の試行だけでなく、ユーザー切替え (su) コマンドのすべての使用が記録されます。

このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。

SULOG=/var/adm/sulog

注 - account-policy SMF ステンシルを使用している場合で、config/etc_default_passwd プロパティーが有効になっているときは、この新しいアルゴリズムを使用するすべてのシステムで、対応する SMF プロパティーを変更する必要があります。例については、Securing Users and Processes in Oracle Solaris 11.4 の Modifying Rights System-Wide As SMF Propertiesの手順を参照してください。account-policy(8S) のマニュアルページも参照してください。

始める前に

root 役割になる必要があります。詳細は、Securing Users and Processes in Oracle Solaris 11.4 の Using Your Assigned Administrative Rightsを参照してください。

/var/adm/sulog ファイルの内容を定期的にモニタリングします。
```
# more /var/adm/sulog
SU 12/20 16:26 + pts/0 stacey-root
SU 12/21 10:59 + pts/0 stacey-root
SU 01/12 11:11 + pts/0 root-rimmer
SU 01/12 14:56 + pts/0 jdoe-root
SU 01/12 14:57 + pts/0 jdoe-root
```
- コマンドが入力された日時。
- 試行に成功した場合。プラス記号 (+) は成功を示し、マイナス記号 (-) は失敗を示します。
- コマンドが実行されたポート。
- ユーザー名と切り替えたユーザー ID。

トラブルシューティング

??? を含むエントリは、su コマンドの制御端末を識別できないことを示しています。通常、デスクトップが表示される前の su コマンドのシステム呼び出しには、??? が含まれます。たとえば、SU 10/10 08:08 + ??? root-root です。ユーザーがデスクトップセッションを開始すると、ttynam コマンドは、次のように制御端末の値を sulog に返します。 SU 10/10 10:10 + pts/3 jdoe-root。

次のようなエントリは、su コマンドがコマンド行で呼び出されなかったことを示している場合があります。SU 10/10 10:20 + ??? root-oracle。Trusted Extensions のユーザーが GUI を使用して oracle 役割に切り替えた可能性があります。