Может ли подсистема аудита Solaris регистрировать все сбросы паролей для локальных учетных записей Solaris?
Я не могу найти ничего в документации Oracle или в общем поиске в Google, поэтому мне интересно, можно ли это сделать или это техническое ограничение операционной системы.
решение1
Возможно, вам поможет что-то вроде этого:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
Пожалуйста, проверьте уже установленные флаги с помощьюauditconfig -getflags
Затем прочитайте журнал аудита, используя обычную комбинацию AuditReduce/Praudit.
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
решение2
А как насчет uaфлага аудита? Я бы ожидал, что он будет охватывать изменения паролей пользователей.
https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html
решение3
AUE_passwd — это событие аудита, которое действительно находится в классе «ua» (который не был включен по умолчанию до Solaris 11.4, поэтому вам может потребоваться явно добавить его).
Событие AUE_passwd может быть сгенерировано командой passwd(1) или когда пользователь меняет свой пароль во время входа в систему или повторной аутентификации с использованием: /bin/login, /bin/su, vt switch на системной консоли, gdm, xlock, xscreensaver, ssh.