Ist es dem Solaris-Audit-Subsystem möglich, alle Kennwortzurücksetzungen für lokale Solaris-Konten zu protokollieren?
Ich kann weder in der Dokumentation von Oracle noch beim allgemeinen Googeln etwas dazu finden und bin daher gespannt, ob dies möglich ist oder ob es sich dabei um eine technische Einschränkung des Betriebssystems handelt.
Antwort1
Vielleicht hilft dir so etwas:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
Bitte überprüfen Sie bereits gesetzte Flags mitauditconfig -getflags
Lesen Sie dann das Prüfprotokoll mit der üblichen Kombination aus Auditreduce und Praudit.
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
Antwort2
Wie wäre es mit dem uaPrüfflag? Ich würde erwarten, dass es Änderungen am Benutzerkennwort abdeckt.
https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html
Antwort3
AUE_passwd ist das Audit-Ereignis, das sich tatsächlich in der Klasse „ua“ befindet (die vor Solaris 11.4 nicht standardmäßig aktiviert ist, daher müssen Sie es möglicherweise explizit hinzufügen).
Ein AUE_passwd-Ereignis kann durch den Befehl passwd(1) generiert werden oder wenn ein Benutzer sein Passwort während der Anmeldung oder erneuten Authentifizierung mit /bin/login, /bin/su, vt switch on system console, gdm, xlock, xscreensaver, ssh ändert.