まず最初に、私は Linux/Solaris の専門家ではないことをお伝えしておきますが、強化チェックリストの特定の項目を確認するタスクを割り当てられたばかりなので、ここで助けを求めて詳細を理解しようと考えています。
現在のチェックリストから、以下のコマンドがあります。
dir=`awk -F: '($1 == "dir") { print $2 }' \ /etc/security/audit_control`
chown root:root $dir/*
chmod go-rwx $dir/*
これは、audit_control ファイルを読み取り、「dir」の行を探して列 #2 を変数に出力し、ディレクトリの所有者と権限を設定することを理解しています。ただし、このファイルは私の Solaris 11 には存在せず、「auditconfig -getcond」を使用して確認したところ、結果は監査です (これが重要であれば)。1
. 最後の文からここ「dir」は Solaris 10 では非推奨であると記載されているので、少なくとも Solaris 10 にはまだ存在しています。ファイルは Solaris 11 で移動されているのでしょうか? そうであれば、どこに移動されているのでしょうか?
2. さらに調査して、「auditconfig -getplugin」というコマンドを見つけましたが、結果は上記のリンクの例に似ていることがわかります。これらは、/etc/security/audit_control で探している情報と同じでしょうか?
スクリプトを使用して強化を実現しようとしています (同じファイルがまだ存在する場合)。または、ファイルが削除された場合は、「auditconfig -getplugin」コマンドを発行する手順を変更し、各ディレクトリの所有者と権限を手動で確認する必要があります。
どのような助けや説明でも大歓迎です。
____________________________________________________________________________
編集: Snare Agent ナレッジベースでの追加情報ここ、次のように記載されています:
Solaris 10 では、audit_control ファイルをインストールするときに、デフォルトで Snare プラグインを使用するように指定します... (audit_control の内容が続きます)
(別の段落)
Solaris 11 では、audit_control ファイルではなくサービス マネージャーを使用してプラグインを処理します。auditconfig
コマンドを使用してこれを構成できます:
#auditconfig -getplugin
(これは先ほど見つけたコマンドです)
これは、audit_control ファイルが Solaris 11 に存在しないことをより明確に示しているのでしょうか? これは実際にはサードパーティの声明ですが、Oracle サイトでこのファイルの廃止に関する情報が見つからないのはなぜかわかりません。