Назад | Перейти на главную страницу

Аудит смены пароля на Solaris

Может ли подсистема аудита Solaris регистрировать сброс всех паролей для локальных учетных записей Solaris?

Я ничего не могу найти в документации Oracle или в общем поиске в Google, поэтому мне любопытно, можно ли это сделать или это техническое ограничение операционной системы.

AUE_passwd - это событие аудита, которое действительно относится к классу ua (который не включен по умолчанию до Solaris 11.4, поэтому вам может потребоваться добавить его явно).

Событие AUE_passwd может быть сгенерировано командой passwd (1) или когда пользователь меняет свой пароль во время входа в систему или повторной аутентификации, используя: / bin / login, / bin / su, переключатель vt на системной консоли, gdm, xlock, xscreensaver, ssh.

Как насчет ua флаг аудита? Я ожидал, что он будет касаться изменения пароля пользователя.

https://docs.oracle.com/cd/E19683-01/817-0365/auditref-tbl-2/index.html

Возможно, вам поможет что-то подобное:

root@solaris:~# auditconfig -setflags ua
user default audit flags = ua(0x40000,0x40000)

Пожалуйста, проверьте уже установленные флаги с auditconfig -getflags

Затем прочтите журнал аудита с помощью обычной комбинации auditreduce / praudit.

root@solaris:~# auditreduce -c ua /var/audit/20180910183619.not_terminated.solaris | praudit
file,2018-09-10 18:39:21.000+00:00,
header,97,2,passwd,,solaris,2018-09-10 18:39:21.251+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1188,787827102,151 2 192.168.1.xxx
return,success,0
header,97,2,passwd,,solaris,2018-09-10 18:41:07.981+00:00
subject,jmoekamp,root,sys,jmoekamp,staff,1194,787827102,151 2 192.168.1.xxx
return,success,0