ソラリスのパスワード変更監査
Solaris監査サブシステムがローカルSolarisアカウントのすべてのパスワードリセットをログに記録することは可能ですか?
Oracleのドキュメントや一般的なグーグルで何も見つからないので、これができるかどうか、またはこれがオペレーティングシステムの技術的な制限であるかどうかが気になります。
おそらく、このようなものがあなたを助けます:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
auditconfig -getflagsですでに設定されているフラグを確認してください
次に、通常のauditreduce/prauditコンボを使用して監査ログを読み取ります。
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
AUE_passwdは監査イベントであり、実際には「ua」クラスにあります(Solaris 11.4より前ではデフォルトで有効になっていないため、明示的に追加する必要がある場合があります)。
AUE_passwdイベントは、passwd(1)コマンドによって、またはユーザーがログインまたは再認証中に/ bin/login、/ bin/su、システムコンソールのvtスイッチ、gdm、xlock、xscreensaver、sshを使用してパスワードを変更したときに生成できます。
ua監査フラグはどうですか?ユーザーパスワードの変更をカバーすることを期待しています。
https://docs.Oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html