人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Solaris 10 にて、ファイルシステム監査をしようと思っています。「サーバ上のファイルに対し read, write した記録を全部取得する」ことが目的です。そこで OS の監査機能 (BSM) を使用しようとしたのですが、console からログインし、対象のファイルを cat した場合のアクセスについては監査ログが取得できるのですが、 telnet や ssh でログインしファイルを cat した場合はログが全く取得できませんでした。 /etc/security/audit_control では flags:lo,fr,fw,fc,fd,no,nt とnaflags:lo,fr,fw,fc,fd,no,nt を指定しています。何が足りないのか教えてください。

●質問者: gtk042
●カテゴリ:コンピュータ
✍キーワード:Console ETC Fc FD FR
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● zzz_1980
●100ポイント

調査途中なのだけれど、

audit_user に妙なことを書いていないかどうか確認を。

solaris 9 の BSMマニュアルの、

「端末 ID (ポート ID、マシン ID)」 ? 端末 ID は、ホスト名とインターネットアドレスで構成され、そのあとにユーザーがログインした物理デバイスを識別する一意の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。

とわざわざ記述してるのが謎。

コンソールからではない login は default で監査しないようになってるんじゃないかとか、仮想ttyが全部監査対象外になってるんじゃないかとか…

お役に立てずすみません。

◎質問者からの返答

audit_userは未編集ですが、この記述には全く気付きませんでした。BSMの監査対象について今一度調べてみます。ありがとうございます。


2 ● hoongt
●0ポイント

http://sdc.sun.co.jp/solaris/topics/security.html

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ