Solaris 監査サブシステムで、ローカル Solaris アカウントのすべてのパスワード リセットをログに記録することは可能ですか?
Oracle のドキュメントや一般的な Google 検索では何も見つからないので、これが実行できるかどうか、またはオペレーティング システムの技術的な制限であるかどうかが気になります。
答え1
おそらく次のようなものが役に立つでしょう:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
すでに設定されているフラグを確認してくださいauditconfig -getflags
次に、通常のauditreduce/prauditの組み合わせを使用して監査ログを読み取ります。
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
答え2
監査フラグはどうでしょうかua
? ユーザーのパスワード変更もカバーすると思います。
答え3
AUE_passwd は監査イベントであり、実際には 'ua' クラスにあります (Solaris 11.4 より前ではデフォルトで有効になっていないため、明示的に追加する必要がある場合があります)。
AUE_passwd イベントは、passwd(1) コマンドによって生成されるか、またはユーザーが /bin/login、/bin/su、システム コンソールの vt スイッチ、gdm、xlock、xscreensaver、ssh を使用してログインまたは再認証中にパスワードを変更したときに生成されます。