É possível que o subsistema de auditoria do Solaris registre todas as redefinições de senha para contas locais do Solaris?
Não consigo encontrar nada nos documentos da Oracle ou na pesquisa geral no Google, por isso estou curioso para saber se isso pode ser feito ou se é uma limitação técnica do sistema operacional.
Responder1
Talvez algo assim ajude você:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
Por favor, verifique os sinalizadores definidos comauditconfig -getflags
Em seguida, leia o log de auditoria com a combinação usual auditreduce/paudit.
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
Responder2
E quanto ao uasinalizador de auditoria? Eu esperaria que isso cobrisse alterações de senha do usuário.
https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html
Responder3
AUE_passwd é o evento de auditoria, que de fato está na classe 'ua' (que não é habilitada por padrão antes do Solaris 11.4, portanto pode ser necessário adicioná-lo explicitamente).
Um evento AUE_passwd pode ser gerado pelo comando passwd(1) ou quando um usuário altera sua senha durante o login ou reautenticação usando: /bin/login, /bin/su, switch vt no console do sistema, gdm, xlock, xscreensaver, ssh.