Determinación de política de auditoría

La política de auditoría determina las características de los registros de auditoría para el sistema local. Las opciones de política se definen por una secuencia de comandos de inicio. La secuencia de comandos bsmconv, que habilita el servicio de auditoría, crea la secuencia de comandos /etc/security/audit_startup. La secuencia de comandos audit_startup ejecuta el comando auditconfig para establecer la política de auditoría. Para obtener detalles sobre la secuencia de comandos, consulte la página del comando man audit_startup(1M).

La mayoría de las opciones de política de auditoría están deshabilitadas de manera predeterminada para minimizar los requisitos de almacenamiento y las demandas de procesamiento del sistema. Puede habilitar y deshabilitar de manera dinámica las opciones de política de auditoría con el comando auditconfig. Puede habilitar y deshabilitar de manera permanente las opciones de política con la secuencia de comandos audit_startup.

Utilice la siguiente tabla para determinar si las necesidades de su sitio justifican la sobrecarga adicional que se genera como resultado de la habilitación de una o más opciones de política de auditoría.

Tabla 29-1 Efectos de opciones de política de auditoría

Nombre de política	Descripción	¿Por qué cambiar la opción de política?
`ahlt`	Esta política se aplica sólo a eventos asíncronos. Cuando está deshabilitada, esta política permite que se complete el evento sin que se haya generado un registro de auditoría. Cuando está habilitada, esta política detiene el sistema cuando los sistemas de archivos de auditoría están completos. La intervención administrativa es necesaria para limpiar la cola de auditoría, liberar espacio para los registros de auditoría y reiniciar. Esta política sólo puede habilitarse en la zona global. La política afecta todas las zonas.	La opción deshabilitada tiene sentido cuando la disponibilidad del sistema es más importante que la seguridad. La opción habilitada tiene sentido en un entorno donde la seguridad es primordial.
`arge`	Cuando está deshabilitada, esta política omite variables de entorno de un programa ejecutado del registro de auditoría `exec`. Cuando está habilitada, esta política agrega variables de entorno de un programa ejecutado al registro de auditoría `exec`. Los registros de auditoría resultantes contienen más detalles que cuando esta política está deshabilitada.	La opción deshabilitada recopila mucho menos información que la opción habilitada. La opción habilitada tiene sentido cuando audita a unos pocos usuarios. La opción también resulta útil cuando hay sospechas sobre las variables de entorno que se utilizan en programas `exec`.
`argv`	Cuando está deshabilitada, esta política omite argumentos de un programa ejecutado del registro de auditoría `exec`. Cuando está habilitada, esta política agrega argumentos de un programa ejecutado al registro de auditoría `exec`. Los registros de auditoría resultantes contienen más detalles que cuando esta política está deshabilitada.	La opción deshabilitada recopila mucho menos información que la opción habilitada. La opción habilitada tiene sentido cuando audita a unos pocos usuarios. La opción también resulta útil cuando tiene motivos para creer que se ejecutan programas `exec` poco usuales.
`cnt`	Cuando está deshabilitada, esta política bloquea un usuario o una aplicación para que no se ejecute. El bloqueo ocurre cuando los registros de auditoría no se agregan a la pista de auditoría porque no hay espacio en disco disponible. Cuando está habilitada, esta política permite que se complete el evento sin que se haya generado un registro de auditoría. La política mantiene un recuento de registros de auditoría que se descartan.	La opción deshabilitada tiene sentido en un entorno donde la seguridad es primordial. La opción habilitada tiene sentido cuando la disponibilidad del sistema es más importante que la seguridad.
`group`	Cuando está deshabilitada, esta política no agrega una lista de grupos a los registros de auditoría. Cuando está habilitada, esta política agrega una lista de grupos a cada registro de auditoría como un token especial.	La opción deshabilitada normalmente satisface los requisitos de seguridad del sitio. La opción habilitada tiene sentido cuando necesita auditar los grupos que generan eventos de auditoría.
`path`	Cuando está deshabilitada, esta política registra en un registro de auditoría una ruta como máximo que se utiliza durante una llamada del sistema. Cuando está habilitada, esta política registra cada ruta que se utiliza junto con un evento de auditoría para cada registro de auditoría.	La opción deshabilitada ubica como máximo una ruta en un registro de auditoría. La opción habilitada introduce cada nombre de archivo o ruta que se utiliza durante una llamada del sistema en el registro de auditoría como un token `path`.
`perzone`	Cuando está deshabilitada, esta política mantiene una única configuración de auditoría para un sistema. Un daemon de auditoría se ejecuta en la zona global. Los eventos de auditoría en zonas no globales se pueden ubicar en el registro de auditoría mediante la preselección del token de auditoría `zonename`. Cuando está habilitada, esta política mantiene una configuración de auditoría, una cola de auditoría y registros de auditoría independientes para cada zona. Una versión independiente del daemon de auditoría se ejecuta en cada zona. Esta política se puede habilitar sólo en la zona global.	La opción deshabilitada es útil cuando no tiene una razón en especial para mantener un registro de auditoría, una cola y un daemon independientes para cada zona. La opción habilitada es útil cuando no puede supervisar el sistema eficazmente mediante la preselección del token de auditoría `zonename`.
`public`	Cuando está deshabilitada, esta política no agrega eventos de sólo lectura de objetos públicos a la pista de auditoría cuando la lectura de archivos está preseleccionada. Las clases de auditoría que contienen eventos de sólo lectura incluyen `fr`, `fa` y `cl`. Cuando está habilitada, esta política registra todos los eventos de auditoría de sólo lectura de objetos públicos si una clase de auditoría apropiada está preseleccionada.	La opción deshabilitada normalmente satisface los requisitos de seguridad del sitio. La opción habilitada rara vez es útil.
`seq`	Cuando está deshabilitada, esta política no agrega un número de secuencia a cada registro de auditoría. Cuando está habilitada, esta política agrega un número de secuencia a cada registro de auditoría. El token `sequence` contiene el número de secuencia.	La opción deshabilitada es suficiente si la auditoría se ejecuta sin problemas. La opción habilitada tiene sentido cuando la política `cnt` está habilitada. La política `seq` le permite determinar cuándo se descartan los datos.
`trail`	Cuando está deshabilitada, esta política no agrega un token `trailer` a los registros de auditoría. Cuando está habilitada, esta política agrega un token `trailer` a cada registro de auditoría.	La opción deshabilitada crea un registro de auditoría más pequeño. La opción habilitada marca claramente el final de cada registro de auditoría con un token `trailer`. El token `trailer` se suele utilizar junto con el token `sequence`. El token `trailer` proporciona una resincronización de registros de auditoría más fácil y precisa.
`zonename`	Cuando está deshabilitada, esta política no incluye un token `zonename` en los registros de auditoría. Cuando está habilitada, esta política incluye un token `zonename` en cada registro de auditoría de una zona no global.	La opción deshabilitada es útil cuando no necesita comparar el comportamiento de auditoría entre zonas. La opción habilitada es útil cuando necesita aislar y comparar el comportamiento de auditoría entre zonas.

Políticas de auditoría para eventos síncronos y asíncronos

Juntas, la política ahlt y la política cnt rigen lo que ocurre cuando la cola de auditoría está completa y no puede aceptar más eventos. Las políticas son independientes y están relacionadas. Las combinaciones de las políticas tienen los siguientes efectos:

-ahlt +cnt es la política predeterminada que se envía. Este valor predeterminado le permite a un evento auditado ser procesado incluso si el evento no se puede registrar.

La política -ahlt indica que si un registro de auditoría de un evento asíncrono no se puede ubicar en la cola de auditoría de núcleo, el sistema contará los eventos y continuará el procesamiento. En la zona global, el contador as_dropped registra el recuento.

La política +cnt indica que si llega un evento síncrono y el evento no se puede ubicar en la cola de auditoría de núcleo, el sistema contará el evento y continuará el procesamiento. El contador as_dropped de la zona registra el recuento.

La configuración -ahlt +cnt se usa generalmente en sitios donde el procesamiento debe continuar, incluso si continuar con el procesamiento puede producir una pérdida de registros de auditoría. El campo auditstat drop muestra el número de registros de auditoría que se descartan en una zona.
La política +ahlt -cnt indica que el procesamiento se detiene cuando un evento no se puede agregar a la cola de auditoría de núcleo.

La política +ahlt indica que si un registro de auditoría de un evento asíncrono no se puede ubicar en la cola de auditoría de núcleo, todo el procesamiento se detiene. El sistema entrará en estado de alerta. El evento asíncrono no estará en la cola de auditoría y se debe recuperar de punteros en la pila de llamadas.

La política -cnt indica que si un evento síncrono no se puede ubicar en la cola de auditoría de núcleo, el subproceso que intenta entregar el evento se bloqueará. El subproceso se coloca en una cola inactiva hasta que el espacio de auditoría pase a estar disponible. Ningún recuento se mantiene. Los programas podrían parecer bloquearse hasta que el espacio de auditoría pase a estar disponible.

La configuración +ahlt -cnt se usa generalmente en sitios donde un registro de cada evento de auditoría tiene prioridad sobre disponibilidad del sistema. Los programas parecerán bloquearse hasta que el espacio de auditoría pase a estar disponible. El campo auditstat wblk muestra el número de veces que los subprocesos se bloquearon.

Sin embargo, si un evento asíncrono se produce, el sistema entrará en estado de alerta, lo que lleva a una interrupción. La cola de núcleo de eventos de auditoría se puede recuperar manualmente de un volcado de bloqueo guardado. El evento asíncrono no estará en la cola de auditoría y se debe recuperar de punteros en la pila de llamadas.
La política -ahlt -cnt indica que si un evento asíncrono no se puede ubicar en la cola de auditoría de núcleo, el evento se contará y continuará el procesamiento. Cuando un evento síncrono no se puede ubicar en la cola de auditoría de núcleo, el subproceso que intenta entregar el evento se bloqueará. El subproceso se coloca en una cola inactiva hasta que el espacio de auditoría pase a estar disponible. Ningún recuento se mantiene. Los programas podrían parecer bloquearse hasta que el espacio de auditoría pase a estar disponible.

La configuración -ahlt -cnt se usa generalmente en los sitios donde el registro de todos los eventos de auditoría síncronos tiene prioridad sobre alguna posible pérdida de registros de auditoría asíncronos. El campo auditstat wblk muestra el número de veces que los subprocesos se bloquearon.
La política +ahlt +cnt indica que si un evento asíncrono no se puede ubicar en la cola de auditoría de núcleo, el sistema entrará en estado de alerta. Si un evento síncrono no se puede ubicar en la cola de auditoría de núcleo, el sistema contará el evento y continuará el procesamiento.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad