bincmds ファイル
目的
監査ビン・データを処理するシェル・コマンドが入っています。
説明
/etc/security/audit/bincmds ファイルは、監査バイナリー・ファイル・レコードを処理するバックエンド・コマンドが入っている ASCII テンプレート・ファイルです。 このファイルのパス名は、 /etc/security/audit/config ファイルの bin スタンザに定義されています。
このファイルには、1 つ以上のコマンドと、一緒にパイプ接続またはリダイレクトできる入出力で構成されるコマンド行が含まれています。 通常、コマンドは 1 つ以上の監査システム・コマンド ( 監査猫 コマンド、 監査者 コマンド、 監査選択 コマンド) ですが、これは要件ではありません。
各ビン・ファイルがカーネルによって充てんされると、 Auditbin デーモンは各コマンドを呼び出してビン・レコードを処理し、コマンド内の $証跡 および $bin (ビン) ストリングを現行のビン・ファイルの名前と監査証跡ファイルに置き換えます。 始動時に、 Auditbin デーモンが bin ファイルにリカバリー手順が必要であることを検出すると、コマンドは $bin (ビン)内の bin ファイルの名前の前に - を付加します。
注: コマンドは、トラステッド・パス上でトラステッド・シェル (TSH) によって実行されます。 これは、コマンド内のパス名は絶対パス名でなければならず、環境変数置換が制限される可能性があることを意味します。 詳しくは、 TSH コマンドの説明を参照してください。
セキュリティー
アクセス制御: このファイルは、root ユーザーおよび監査グループのメンバーに読み取り (r) アクセス権限を付与し、root ユーザーにのみ書き込み (w) アクセス権限を付与する必要があります。
例
- 監査ビン・レコードを圧縮してシステム監査証跡ファイルに追加するには、 /etc/security/audit/bincmds ファイルに以下の行を組み込みます。
/usr/sbin/auditcat -p -o $trail $binコマンドが実行されると、現在の bin ファイルとシステム監査証跡ファイルの名前が $bin (ビン) ストリングと $証跡 ストリングの代わりに使用されます。 レコードは圧縮され、 /audit/trail (監査/証跡) ファイルに追加されます。
- 認証または特権の理由で失敗した各 bin ファイルから監査イベントを選択し、それらのイベントを /audit/trail.violations ファイルに追加するには、 /etc/security/audit/bincmds ファイルに次の行を組み込む必要があります。
/usr/sbin/auditselect -e "result == FAIL_AUTH || \ result == FAIL_PRIV" $bin >> /audit/trail.violations - すべてのローカル・ユーザー認証監査イベントのハードコピー監査ログを作成するには、 /etc/security/audit/bincmds ファイルに以下の行を組み込みます。
/usr/sbin/auditselect -e "event == USER_Login || \ event == USER_SU" $bin | \ /usr/sbin/auditpr -t2 -v >/dev/lpr3要件に合わせてプリンター名を調整してください。
注: auditselect コマンドは -r フラグ (リカバリー) をサポートしていません。 $bin ストリングを処理するには、 auditselect コマンドを使用する前に auditcat コマンドを使用します。
ファイル
| 項目 | 説明 |
|---|---|
| /etc/security/audit/bincmds | ファイルへのパスを指定します。 |
| /etc/security/audit/config | 監査システム構成情報が入っています。 |
| /etc/security/audit/events | システムの監査イベントが入っています。 |
| /etc/security/audit/objects | 監査対象オブジェクト (ファイル) の監査イベントが入っています。 |
| /etc/security/audit/streamcmds | auditstream コマンドが入っています。 |