¿Es posible que el subsistema de auditoría de Solaris registre todos los restablecimientos de contraseñas para las cuentas locales de Solaris?
No puedo encontrar nada en los documentos de Oracle ni en la búsqueda general en Google, por lo que tengo curiosidad por saber si esto se puede hacer o si se trata de una limitación técnica del sistema operativo.
Respuesta1
Quizás algo como esto te ayude:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
Por favor verifique las banderas establecidas ya conauditconfig -getflags
Luego lea el registro de auditoría con la combinación habitual auditreduce/praudit.
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
Respuesta2
¿Qué tal la ua
bandera de auditoría? Espero que cubra los cambios de contraseña de usuario.
https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html
Respuesta3
AUE_passwd es el evento de auditoría, que de hecho está en la clase 'ua' (que no está habilitada de forma predeterminada antes de Solaris 11.4, por lo que es posible que deba agregarlo explícitamente).
Se puede generar un evento AUE_passwd mediante el comando passwd(1) o cuando un usuario cambia su contraseña durante el inicio de sesión o la reautenticación usando: /bin/login, /bin/su, vt switch en la consola del sistema, gdm, xlock, xscreensaver, ssh.