Solaris 10 にて、ファイルシステム監査をしようと思っています。「サーバ上のファイルに対し read, write した記録を全部取得する」ことが目的です。そこで OS の監査機能 (BSM) を使用しようとしたのですが、console からログインし、対象のファイルを cat した場合のアクセスについては監査ログが取得できるのですが、 telnet や ssh でログインしファイルを cat した場合はログが全く取得できませんでした。 /etc/security/audit_control では flags:lo,fr,fw,fc,fd,no,nt とnaflags:lo,fr,fw,fc,fd,no,nt を指定しています。何が足りないのか教えてください。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2008/09/26 15:52:43
  • 終了:2008/10/01 09:57:54

回答(2件)

id:zzz_1980 No.1

zzz_1980回答回数492ベストアンサー獲得回数642008/09/26 19:29:33

ポイント100pt

調査途中なのだけれど、

audit_user に妙なことを書いていないかどうか確認を。

solaris 9 の BSMマニュアルの、

「端末 ID (ポート ID、マシン ID)」 – 端末 ID は、ホスト名とインターネットアドレスで構成され、そのあとにユーザーがログインした物理デバイスを識別する一意の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。

とわざわざ記述してるのが謎。

コンソールからではない login は default で監査しないようになってるんじゃないかとか、仮想ttyが全部監査対象外になってるんじゃないかとか…

お役に立てずすみません。

id:gtk042

audit_userは未編集ですが、この記述には全く気付きませんでした。BSMの監査対象について今一度調べてみます。ありがとうございます。

2008/09/26 23:18:57

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません