Solaris 上的密码更改审计

Question 1

也许这样的事情可以帮助你：

root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)

请检查已设置的标志auditconfig -getflags

然后使用常用的 auditreduce/praudit 组合读取审计日志。

root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0

Answer

也许这样的事情可以帮助你：

root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)

请检查已设置的标志auditconfig -getflags

然后使用常用的 auditreduce/praudit 组合读取审计日志。

root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0

Question 2

审计标志怎么样ua？我希望它涵盖用户密码更改。

https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html

Answer

审计标志怎么样ua？我希望它涵盖用户密码更改。

https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html

Question 3

AUE_passwd 是审计事件，它确实属于“ua”类（在 Solaris 11.4 之前默认未启用，因此您可能需要明确添加它）。

AUE_passwd 事件可以由 passwd(1) 命令生成，或者当用户在登录或重新认证期间使用以下命令更改密码时生成：/bin/login、/bin/su、系统控制台上的 vt 开关、gdm、xlock、xscreensaver、ssh。

Answer

AUE_passwd 是审计事件，它确实属于“ua”类（在 Solaris 11.4 之前默认未启用，因此您可能需要明确添加它）。

AUE_passwd 事件可以由 passwd(1) 命令生成，或者当用户在登录或重新认证期间使用以下命令更改密码时生成：/bin/login、/bin/su、系统控制台上的 vt 开关、gdm、xlock、xscreensaver、ssh。

Solaris 上的密码更改审计

答案1

答案2

答案3

相关内容