Аудит изменения пароля на Solaris
Может ли подсистема аудита Solaris регистрировать все сбросы паролей для локальных учетных записей Solaris?
Я ничего не могу найти в документации Oracle или в общем поиске в Google, поэтому мне любопытно, можно ли это сделать, или если это техническое ограничение операционной системы.
Возможно, вам поможет что-то вроде этого:
root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)
Пожалуйста, проверьте все установленные флаги с помощью auditconfig -getflags
Затем прочтите журнал аудита с помощью обычной комбинации auditreduce / praudit.
root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0
Как насчет флага аудита ua ? Я ожидал, что он будет касаться изменения пароля пользователя.
https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html
AUE_passwd - это событие аудита, которое действительно относится к классу ua (который не включен по умолчанию до Solaris 11.4, поэтому вам может потребоваться добавить его явно).
Событие AUE_passwd может быть сгенерировано командой passwd (1) или когда пользователь меняет свой пароль во время входа в систему или повторной аутентификации, используя: / bin / login, / bin / su, переключатель vt на системной консоли, gdm, xlock, xscreensaver, ssh.