首先我要说的是,我不是 Linux/Solaris 专家,只是被分配了查看强化检查清单中的 1 个特定项目的任务,因此想在这里寻求帮助以了解更多信息。
从当前检查清单中,有以下命令:
dir=`awk -F: '($1 == "dir") { print $2 }' \ /etc/security/audit_control`
chown root:root $dir/*
chmod go-rwx $dir/*
我知道这会读取 audit_control 文件,查找带有“dir”的行并将第 2 列打印到变量,然后设置目录所有者和权限。但是这个文件在我的 Solaris 11 中不存在,我使用“auditconfig -getcond”进行了检查,结果是审计(如果它确实重要的话)。1.
来自最后一句这里我看到它提到“dir”在 Solaris 10 中已弃用,因此它至少在 Solaris 10 中仍然存在,文件是否在 Solaris 11 中被移动?如果是,它被移动到哪里了?
2. 进一步探索我找到了命令“auditconfig -getplugin”,我可以看到结果与上面链接中的示例类似。这些是我在 /etc/security/audit_control 中寻找的相同信息吗?
我正在尝试使用脚本来实现强化(如果相同的文件仍然存在)。否则,如果文件被删除,我将需要更改步骤以发出“auditconfig -getplugin”命令并手动检查每个目录的所有者和权限。
任何帮助/澄清都值得感激。__________________________________________________________________________
编辑
:在 Snare Agent 知识库中发现的其他内容这里,其中说明:
在 Solaris 10 中,当我们安装 audit_control 文件时,我们默认指示使用 Snare 插件...(后面是 audit_control 的内容)
(另一段)
Solaris 11 使用服务管理器来处理插件,而不是 audit_control 文件。auditconfig
命令可用于配置这一点:(
#auditconfig -getplugin
这是我之前找到的命令)
这是否更清楚地表明 audit_control 文件在 Solaris 11 中不再存在?这实际上是第三方声明,但我不确定为什么我无法在 Oracle 网站上找到有关此文件过时的信息。