Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
Planificación de auditoría de Oracle Solaris (mapa de tareas)
Planificación de la auditoría de Oracle Solaris (tareas)
Cómo planificar auditoría en zonas
Cómo planificar el almacenamiento para registros de auditoría
Determinación de política de auditoría
Políticas de auditoría para eventos síncronos y asíncronos
Control de costos de auditoría
Costo de mayor tiempo de procesamiento de datos de auditoría
Costo de análisis de datos de auditoría
Costo de almacenamiento de datos de auditoría
30. Gestión de la auditoría de Oracle Solaris (tareas)
Desea ser selectivo sobre los tipos de actividades que se auditan. Al mismo tiempo, desea recopilar información de auditoría útil. Los archivos de auditoría pueden crecer rápidamente y llenar el espacio disponible, por lo que debe asignar suficiente espacio en disco. También debe planificar cuidadosamente a quién auditar y qué auditar.
Si el sistema ha implementado zonas, tiene dos posibilidades de configuración de auditoría:
Puede configurar un único servicio de auditoría en la zona global para todas las zonas.
Puede configurar un servicio de auditoría por zona.
Para ver una explicación de las compensaciones, consulte Auditoría en un sistema con zonas de Oracle Solaris.
Auditar todas las zonas de manera idéntica puede crear una pista de auditoría de imagen única. Una pista de auditoría de imagen única se produce cuando todas las zonas de un sistema forman parte de un dominio administrativo. Los registros de auditoría se pueden comparar fácilmente porque los registros en cada zona están preseleccionados con valores de configuración idénticos.
Esta configuración trata todas las zonas como parte de un sistema. La zona global ejecuta el único daemon de auditoría en un sistema y recopila registros de auditoría para cada zona. Se personalizan archivos de configuración de auditoría sólo en la zona global, luego se copian los archivos de configuración de auditoría en cada zona no global.
La base de datos audit_user puede ser un archivo local o se puede obtener de un servicio de nombres compartido.
Para colocar el nombre de zona como parte del registro de auditoría, establezca la política zonename en la zona global. El comando auditreduce podrá seleccionar luego los eventos de auditoría por zona de la pista de auditoría. Si desea ver un ejemplo, consulte la página del comando man auditreduce(1M).
Para planificar una pista de auditoría de imagen única, consulte Cómo planificar a quién y qué auditar. Comience con el primer paso. El administrador de la zona global también debe dejar a un lado el almacenamiento, como se describe en Cómo planificar el almacenamiento para registros de auditoría.
Opte por configurar la auditoría por zona si diferentes zonas tienen diferentes archivos de servicio de nombres o si los administradores de zonas desean controlar la auditoría en sus zonas.
Cuando configura la auditoría por zona, debe configurar la zona global para auditoría. Establezca la política de auditoría perzone en la zona global. Para establecer una política de auditoría, consulte Cómo configurar la auditoría por zona.
Nota - Si los archivos de servicio de nombres están personalizados en zonas no globales y la política perzone no está establecida, se requiere el uso cuidadoso de herramientas de auditoría para seleccionar registros utilizables. Un ID de usuario en una zona puede hacer referencia a un usuario diferente del mismo ID en una zona diferente.
Para generar registros que puedan rastrearse a sus respectivas zonas de origen, establezca la política de auditoría zonename en la zona global. En la zona global, ejecute el comando auditreduce con la opción zonename. A continuación, en la zona zonename, ejecute el comando praudit en la salida auditreduce.
Cada administrador de zona configura los archivos de auditoría para la zona.
Un administrador de zona no global puede establecer todas las opciones de política excepto perzone y ahlt.
Cada administrador de zona puede habilitar o deshabilitar la auditoría en la zona.
Si personaliza archivos de configuración de auditoría en cada zona, utilice Cómo planificar a quién y qué auditar para planificar cada zona. Puede saltear el primer paso. Cada administrador de zona también debe dejar a un lado el almacenamiento de cada zona, como se describe en Cómo planificar el almacenamiento para registros de auditoría.
La pista de auditoría requiere espacio de archivo dedicado. El espacio de archivo dedicado para los archivos de auditoría debe estar disponible y debe ser seguro. Cada sistema debe tener varios directorios de auditoría configurados para archivos de auditoría. Debe decidir cómo configurar los directorios de auditoría como una de las primeras tareas antes de habilitar la auditoría en cualquier sistema. El siguiente procedimiento trata los problemas que debe resolver cuando planifica el almacenamiento de la pista de auditoría.
Antes de empezar
Si implementa zonas no globales, complete Cómo planificar auditoría en zonas antes de utilizar este procedimiento.
Equilibre las necesidades de seguridad del sitio con la disponibilidad de espacio en disco para la pista de auditoría.
Para obtener indicaciones acerca de cómo reducir los requisitos de espacio manteniendo la seguridad del sitio y cómo diseñar el almacenamiento de auditoría, consulte Control de costos de auditoría y Auditoría eficaz.
En esos sistemas, asigne espacio para al menos un directorio de auditoría local. Para especificar los directorios de auditoría, consulte el Ejemplo 30-3.
Decida qué servidores contendrán los directorios de auditoría primarios y secundarios. Para ver ejemplos acerca de cómo configurar discos para directorios de auditoría, consulte Cómo crear particiones para los archivos de auditoría.
Cree una lista de todos los directorios de auditoría que se va a utilizar. Para obtener directrices de nombres, consulte Almacenamiento de la pista de auditoría y Comando auditreduce.
Crear un mapa que muestre el directorio de auditoria que se va a utilizar y el sistema que va a utilizarlo. El mapa le ayuda a equilibrar la actividad de auditoría. Para ver una ilustración, consulte la Figura 31-1 y la Figura 31-2.
Antes de empezar
Si implementa zonas no globales, complete Cómo planificar auditoría en zonas antes de utilizar este procedimiento.
Los sistemas dentro de un único dominio administrativo pueden crear una pista de auditoría de imagen de sistema único. Si los sistemas utilizan diferentes servicios de nombres, comience con el siguiente paso. Deberá completar el resto de los pasos de planificación para cada sistema.
Una pista de auditoría de imagen de sistema único trata los sistemas que se auditan como un equipo. Para crear una pista de auditoría de imagen de sistema único para un sitio, cada sistema en la instalación debe configurarse como se indica a continuación:
Utilice el mismo servicio de nombres.
Para interpretar los registros de auditoría se utilizan dos comandos, auditreduce y praudit. Para una correcta interpretación de los registros de auditoría, los archivos passwd, hosts y audit_user deben ser consistentes.
Utilice los mismos archivos audit_warn, audit_event, audit_class y audit_startup como cualquier otro sistema.
Utilice la misma base de datos audit_user. La base de datos puede estar en un servicio de nombres como NIS o LDAP.
Tenga entradas flags, naflags y plugin idénticas en el archivo audit_control.
Utilice el comando auditconfig -lspolicy para ver una breve descripción de opciones de políticas disponibles. De manera predeterminada, sólo la política cnt está activada. Para obtener más información, consulte el Paso 8.
Para ver los efectos de las opciones de política, consulte Determinación de política de auditoría. Para establecer una política de auditoría, consulte Cómo configurar la política de auditoría.
En muchas situaciones, la asignación predeterminada es suficiente. Sin embargo, si agrega nuevas clases, cambia definiciones de clase o determina que un registro de una llamada del sistema específica no es útil, es posible que también necesite mover un evento a una clase diferente.
Para obtener un ejemplo, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría.
El mejor momento para agregar clases de auditoría o para cambiar las clases predeterminadas es antes de iniciar el servicio de auditoría.
Los valores de clases de auditoría de las entradas flags, naflags y plugin en el archivo audit_control se aplican a todos los usuarios y procesos. Las clases preseleccionadas determinan si una clase de auditoría se audita correctamente, con errores o ambos.
Para preseleccionar clases de auditoría, consulte Cómo modificar el archivo audit_control.
Si decide que algunos usuarios deben auditarse de manera distinta de las clases de auditoría preseleccionadas en todo el sistema, modifique las entradas de los usuarios individuales en la base de datos audit_user.
Para obtener un ejemplo, consulte Cómo cambiar las características de auditoría de un usuario.
Cuando el espacio en disco de un sistema de archivos de auditoría cae por debajo del porcentaje minfree, el daemon auditd cambia al siguiente directorio de auditoría disponible. A continuación, el daemon envía una advertencia de que el límite de aviso se ha excedido.
Para establecer el espacio en disco mínimo disponible, consulte el Ejemplo 30-4.
La secuencia de comandos audit_warn se ejecuta siempre que el sistema de auditoría necesita notificarle de una situación que requiere atención administrativa. De manera predeterminada, la secuencia de comandos audit_warn envía un correo electrónico al alias audit_warn y envía un mensaje a la consola.
Para configurar el alias, consulte Cómo configurar el alias de correo electrónico audit_warn .
De manera predeterminada, cuando la pista de auditoría se desborda, el sistema sigue funcionando. El sistema cuenta los registros de auditoría que se descartan, pero no registra los eventos. Para mayor seguridad, puede deshabilitar la política cnt y habilitar la política ahlt. La política ahlt detiene el sistema cuando un evento asíncrono no se puede ubicar en la cola de auditoría.
Para ver una explicación de estas opciones de política, consulte Políticas de auditoría para eventos síncronos y asíncronos. Para configurar estas opciones de política, consulte el Ejemplo 30-16.
Para obtener una descripción general, consulte Registros de auditoría.
Para obtener un ejemplo, consulte Cómo configurar registros de auditoría syslog.