Solaris 10 にて、ファイルシステム監査をしようと思っています。「サーバ上のファイルに対し read, write した記録を全部取得する」ことが目的です。そこで OS の監査機能 (BSM) を使用しようとしたのですが、console からログインし、対象のファイルを cat した場合のアクセスについては監査ログが取得できるのですが、 telnet や ssh でログインしファイルを cat した場合はログが全く取得できませんでした。 /etc/security/audit_control では flags:lo,fr,fw,fc,fd,no,nt とnaflags:lo,fr,fw,fc,fd,no,nt を指定しています。何が足りないのか教えてください。
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。
No.1
100pt
調査途中なのだけれど、
audit_user に妙なことを書いていないかどうか確認を。
solaris 9 の BSMマニュアルの、
「端末 ID (ポート ID、マシン ID)」 – 端末 ID は、ホスト名とインターネットアドレスで構成され、そのあとにユーザーがログインした物理デバイスを識別する一意の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。
とわざわざ記述してるのが謎。
コンソールからではない login は default で監査しないようになってるんじゃないかとか、仮想ttyが全部監査対象外になってるんじゃないかとか…
お役に立てずすみません。
No.2
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。
これ以上回答リクエストを送信することはできません。制限について
audit_userは未編集ですが、この記述には全く気付きませんでした。BSMの監査対象について今一度調べてみます。ありがとうございます。