En primer lugar, me gustaría decir que no soy un experto en Linux/Solaris, pero solo me asignaron la tarea de observar un elemento en particular en la lista de verificación de refuerzo, por lo que estoy pensando en buscar ayuda aquí para comprender más.
De la lista de verificación actual se encuentran estos comandos a continuación:
dir=`awk -F: '($1 == "dir") { print $2 }' \ /etc/security/audit_control`
chown root:root $dir/*
chmod go-rwx $dir/*
Entiendo que esto leerá el archivo audit_control, buscará la línea con "dir" e imprimirá la columna n.° 2 en la variable, luego establecerá el propietario y el permiso del directorio. Sin embargo, este archivo no existe en mi Solaris 11, lo verifiqué usando "auditconfig -getcond" y el resultado es una auditoría (si es que importa).
1. De la última fraseaquíPuedo ver que mencionó que el "dir" está en desuso en Solaris 10, por lo que al menos todavía existe en Solaris 10. ¿Se está moviendo el archivo en Solaris 11? En caso afirmativo, ¿a dónde se traslada?
2. Explora más. Encontré el comando "auditconfig -getplugin", y puedo ver que el resultado es similar al ejemplo del enlace anterior. ¿Es esta la misma información que estoy buscando en /etc/security/audit_control?
Estoy intentando lograr el endurecimiento mediante un script (si aún existe el mismo archivo). De lo contrario, si el archivo se eliminó, tendré que cambiar los pasos para emitir el comando "auditconfig -getplugin" y verificar manualmente el propietario y el permiso de cada directorio.
Se agradece cualquier ayuda/aclaración.
______________________________________________________________________________
Editar: hallazgo adicional en la base de conocimientos de Snare Agentaquí, decía:
Con Solaris 10, cuando instalamos el archivo audit_control indicamos usar el complemento Snare de forma predeterminada... (seguido del contenido de audit_control)
(Otro párrafo)
Solaris 11 usa el administrador de servicios para manejar los complementos en lugar de el archivo audit_control.
El comando auditconfig se puede usar para configurar esto:
#auditconfig -getplugin
(que es el comando que encontré anteriormente)
¿Es ese un indicador más claro de que el archivo audit_control ya no existe en Solaris 11? De hecho, esta es una declaración de un tercero; sin embargo, no estoy seguro de por qué no puedo encontrar información sobre la obsolescencia de este archivo en el sitio de Oracle.