Solaris 审计子系统是否可以记录本地 Solaris 帐户的所有密码重置?
我在 Oracle 的文档中或通过常规谷歌搜索都找不到任何内容,所以我很好奇这是否可以做到这一点,或者这是否是操作系统的技术限制。
答案1
也许这样的事情可以帮助你:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
请检查已设置的标志auditconfig -getflags
然后使用常用的 auditreduce/praudit 组合读取审计日志。
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
答案2
审计标志怎么样ua
?我希望它涵盖用户密码更改。
https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html
答案3
AUE_passwd 是审计事件,它确实属于“ua”类(在 Solaris 11.4 之前默认未启用,因此您可能需要明确添加它)。
AUE_passwd 事件可以由 passwd(1) 命令生成,或者当用户在登录或重新认证期间使用以下命令更改密码时生成:/bin/login、/bin/su、系统控制台上的 vt 开关、gdm、xlock、xscreensaver、ssh。