AUDIT_USER(5) | FreeBSD File Formats Manual | AUDIT_USER(5) |
名称
audit_user — 与えられたユーザの監査されるイベント解説
audit_user ファイルは、与えられたユーザのために監査される監査イベントのクラスを指定します。これらのフラグが指定されるなら、そのユーザのためにどのクラスのイベントを監査するかを決定するために audit_control(5) ファイル中のシステム全体の監査フラグと組み合わされます。ユーザがログインするとき、これらの設定の効力が生じます。各行は、ユーザ名を監査されるべきであるクラスのリストと監査されるべきでないクラスのリストにマップします。エントリは、次の形式です:
username: alwaysaudit: neveraudit
上記の形式では、 alwaysaudit は、常に監査される 1 組のイベントのクラスで、 neveraudit が監査されるべきでない 1 組のイベントのクラスです。これらの設定は、複数のクラスの包含または除外と、成功するかまたは失敗したイベントを監査するかどうかを示すことができます。監査フラグに関する詳しい情報については、 audit_control(5) を参照してください。
このファイルのエントリの例は、次の通りです:
root:lo,ad:no jdoe:-fc,ad:+fw
これらの設定によって、監査されるユーザ“ root
”の代わりに実行される login/logout と管理イベントの原因となります。失敗イベントは、監査されません。ユーザ“ jdoe
”に関して、失敗したファイル作成イベントは、監査され、管理イベントは、監査され、そして成功したファイル書き込みイベントは、決して監査されません。
実装に関する注
ユーザ毎とグローバルな監査前選択設定は、ログインの時に評価されるので、前選択に関連する監査の変更の効果が生じるようにするためには、ユーザは、ログアウトして、再び戻らなければなりません。監査記録前選択は、UNIX ユーザまたはグループ ID に関連しているというよりむしろプロセスに関連している監査識別子に対して生じます。監査識別子は、ログインの一部としてのユーザ証明書のコンテキストの一部として設定され、 su(1) のような、setuid または setgid されているアプリケーションを実行することの結果は、通常変化しません。これには、 su(1) を実行した後に生じるイベントが CAPP によって必要とされるように、オリジナルの認証されたユーザに監査することができるという利点がありますが、予想されないなら、驚くべきものであるかもしれません。
関連ファイル
- /etc/security/audit_user
歴史
OpenBSM 実装は、2004 年に Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ部門、McAfee Research によって作成されました。その後にそれは、OpenBSM 配布のための基盤として TrustedBSD Project によって採用されました。作者
このソフトウェアは、Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ研究部門、McAfee Research によって作成されました。追加の作者として , と SPARTA Inc. が挙げられます。レコードを監査し、イベントストリームフォーマットを監査する Basic Security Module (BSM) インタフェースは、Sun Microsystems によって定義されました。
January 4, 2008 | FreeBSD |