Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Planificación de la auditoría (tareas)
Cómo planificar auditoría en zonas
Cómo planificar el almacenamiento para registros de auditoría
Comprensión de la política de auditoría
Control de costos de auditoría
Costo de mayor tiempo de procesamiento de datos de auditoría
Costo de análisis de datos de auditoría
Costo de almacenamiento de datos de auditoría
Desea ser selectivo sobre los tipos de actividades que se auditan. Al mismo tiempo, desea recopilar información de auditoría útil. También debe planificar cuidadosamente a quién auditar y qué auditar. Si utiliza el complemento audit_binfile predeterminado, los archivos de auditoría pueden crecer rápidamente para llenar el espacio disponible, por lo tanto debe asignar suficiente especio en disco.
El siguiente mapa de tareas hace referencia a las tareas principales necesarias para planificar el espacio en disco y los eventos que se deben registrar.
|
Si su sistema contiene zonas no globales, las zonas se pueden auditar cuando se audita la zona global, o el servicio de auditoría para cada zona no global se puede configurar, habilitar y deshabilitar por separado. Por ejemplo, puede auditar sólo las zonas no globales sin auditar la zona global.
Para ver una explicación de las compensaciones, consulte Auditoría en un sistema con zonas de Oracle Solaris.
Auditar todas las zonas de manera idéntica puede crear una pista de auditoría de imagen única. Una pista de auditoría de imagen única se produce cuando utiliza audit_binfile o el complemento audit_remote, y todas las zonas en un sistema son parte de un solo dominio administrativo. Los registros de auditoría se pueden comparar fácilmente porque los registros en cada zona están preseleccionados con valores de configuración idénticos.
Esta configuración trata todas las zonas como parte de un sistema. La zona global ejecuta el único servicio de auditoría en un sistema y recopila registros de auditoría para cada zona. Se personalizan los archivos audit_class y audit_event sólo en la zona global y, a continuación, se copian estos archivos en cada zona no global.
Nota - Si los archivos de servicio de nombres están personalizados en zonas no globales y la política perzone no está establecida, se requiere el uso cuidadoso de herramientas de auditoría para seleccionar registros utilizables. Un ID de usuario en una zona puede hacer referencia a un usuario diferente del mismo ID en una zona diferente.
Para colocar el nombre de zona como parte del registro de auditoría, establezca la política zonename en la zona global. El comando auditreduce podrá seleccionar luego los eventos de auditoría por zona de la pista de auditoría. Si desea ver un ejemplo, consulte la página del comando man auditreduce(1M).
Para planificar una pista de auditoría de imagen única, consulte Cómo planificar a quién y qué auditar. Comience con el primer paso. El administrador de la zona global también debe dejar a un lado el almacenamiento, como se describe en Cómo planificar el almacenamiento para registros de auditoría.
Opte por configurar la auditoría por zona si diferentes zonas usan diferentes bases de datos de servicio de nombres o si los administradores de zonas desean controlar la auditoría en sus zonas.
Nota - Para auditar zonas no globales, se debe establecer la política perzone, pero el servicio de auditoría no tiene que estar habilitado en la zona global. La auditoría de la zona no global se configura y el servicio de auditoría se habilita y deshabilita independientemente de la zona global.
Cuando configura la auditoría por zona, establece la política de auditoría perzone en la zona global. Si la auditoría por zona se establece antes de que se inicie por primera vez la zona no global, la auditoría comienza en el primer inicio de la zona. Para establecer una política de auditoría, consulte Cómo configurar la auditoría por zona.
Cada administrador de zona configura la auditoría para la zona.
Un administrador de zona no global puede establecer todas las opciones de política excepto perzone y ahlt.
Cada administrador de zona puede habilitar o deshabilitar la auditoría en la zona.
Para generar registros que puedan rastrearse a sus respectivas zonas de origen durante la revisión, establezca la política de auditoría zonename.
Para planificar auditoría por zona, consulte Cómo planificar a quién y qué auditar. Puede saltear el primer paso. Si el complemento audit_binfile está activo, cada administrador de zona debe dejar a un lado el almacenamiento para cada zona, como se describe en Cómo planificar el almacenamiento para registros de auditoría.
El complemento audit_binfile crea una pista de auditoría. La pista de auditoría requiere espacio de archivo dedicado. Este espacio debe estar disponible y debe ser seguro. El sistema utiliza el sistema de archivos /var/audit para almacenamiento inicial. Puede configurar sistemas de archivos de auditoría adicionales para los archivos de auditoría. El siguiente procedimiento trata los problemas que debe resolver cuando planifica el almacenamiento de la pista de auditoría.
Antes de empezar
Si implementa zonas no globales, complete Cómo planificar auditoría en zonas antes de utilizar este procedimiento.
Utiliza el complemento audit_binfile.
Equilibre las necesidades de seguridad del sitio con la disponibilidad de espacio en disco para la pista de auditoría.
Para obtener indicaciones acerca de cómo reducir los requisitos de espacio manteniendo la seguridad del sitio y cómo diseñar el almacenamiento de auditoría, consulte Control de costos de auditoría y Auditoría eficaz.
Para pasos prácticos, consulte Cómo reducir el volumen de los registros de auditoría que se producen, Cómo comprimir archivos de auditoría en un sistema de archivos dedicado y el Ejemplo 28-28.
Cree una lista de todos los sistemas de archivos de auditoría que se van a utilizar. Para directrices de configuración, consulte Almacenamiento y gestión de la pista de auditoría y la página del comando man auditreduce(1M). Para especificar los sistemas de archivos de auditoría, consulte Cómo asignar espacio de auditoría para la pista de auditoría.
Para obtener más información, consulte Indicaciones de hora confiables.
Antes de empezar
Si implementa zonas no globales, revise Cómo planificar auditoría en zonas antes de utilizar este procedimiento.
Nota - Este paso se aplica sólo al complemento audit_binfile.
Los sistemas dentro de un único dominio administrativo pueden crear una pista de auditoría de imagen de sistema único. Si los sistemas utilizan diferentes servicios de nombres, comience con el Paso 2. Luego, complete el resto de los pasos de planificación para cada sistema.
Para crear una pista de auditoría de imagen de sistema único para un sitio, cada sistema en la instalación debe configurarse como se indica a continuación:
Utilice el mismo servicio de nombres para todos los sistemas.
Para una correcta interpretación de los registros de auditoría, los archivos passwd, group y hosts deben ser consistentes.
Configure el servicio de auditoría de manera idéntica en todos los sistemas. Para obtener información sobre la visualización y modificación de la configuración de servicio, consulte la página del comando man auditconfig(1M).
Utilice los mismos archivos audit_warn, audit_event y audit_class para todos los sistemas.
De manera predeterminada, sólo la política cnt está habilitada.
Utilice el comando auditconfig -lspolicy para ver una descripción de opciones de políticas disponibles.
Para ver los efectos de las opciones de política, consulte Comprensión de la política de auditoría.
Para el efecto de la política cnt, consulte Políticas de auditoría para eventos síncronos y asíncronos.
Para establecer una política de auditoría, consulte Cómo cambiar la política de auditoría.
En la mayoría de las situaciones, la asignación predeterminada es suficiente. Sin embargo, si agrega nuevas clases, cambia las definiciones de clase o determina que un registro de una llamada del sistema específica no es útil, es posible que desee modificar asignaciones de evento-clase.
Para obtener un ejemplo, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría.
La mejor hora para agregar clases de auditoría o cambiar las clases predeterminadas es antes de que los usuarios inicien sesión en el sistema.
Las clases de auditoría que preselecciona con las opciones -setflags y -setnaflags para el comando auditconfig se aplican a todos los usuarios y procesos. Puede preseleccionar una clase para comprobar si es correcta, si tiene fallos o ambas cosas.
Para la lista de clases de auditoría, lea el archivo /etc/security/audit_class.
Si decide que algunos usuarios deberían auditarse de manera diferente al sistema, utilice el atributo de seguridad audit_flags para el comando useradd, usermod, roleadd o rolemod. También puede utilizar el comando profiles para agregar este atributo al perfil de derechos en la base de datos prof_attr. La máscara de preselección de usuario se modifica para los usuarios que utilizan un perfil de derechos con indicadores de auditoría explícitos.
Para conocer el procedimiento, consulte Cómo configurar las características de auditoría de un usuario. Para conocer los valores de indicadores que están vigentes, consulte Orden de búsqueda para atributos de seguridad asignados.
La secuencia de comandos audit_warn se ejecuta siempre que el sistema de auditoría detecta una situación que requiere atención administrativa. De manera predeterminada, la secuencia de comandos audit_warn envía un correo electrónico al alias audit_warn y envía un mensaje a la consola.
Para configurar el alias, consulte Cómo configurar el alias de correo electrónico audit_warn.
Dispone de tres opciones.
De manera predeterminada, los registros de auditoría binarios se almacenan localmente. El directorio de almacenamiento predeterminado es /var/audit. Para más opciones de configuración del complemento audit_binfile, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría.
Envíe registros de auditoría binarios a un depósito protegido remoto mediante el complemento audit_remote. Debe tener un receptor para los archivos. Para conocer el procedimiento, consulte Cómo enviar archivos de auditoría a un depósito remoto.
Envíe resúmenes de registros de auditoría a syslog utilizando el complemento audit_syslog. Para conocer el procedimiento, consulte Cómo configurar registros de auditoría syslog.
Para una comparación de formatos syslog y binarios, consulte Registros de auditoría.
Nota - Este paso se aplica sólo al complemento audit_binfile.
Cuando el espacio en disco en un sistema de archivos de auditoría está por debajo del porcentaje de espacio libre mínimo, o límite dinámico, el servicio de auditoría cambia al siguiente directorio de auditoría disponible. A continuación, el servicio envía una advertencia de que el límite dinámico se ha excedido.
Para establecer un porcentaje de espacio libre mínimo, consulte el Ejemplo 28-17.
Nota - Este paso se aplica sólo al complemento audit_binfile.
En la configuración predeterminada, el complemento audit_binfile está activo y la política cnt está establecida. En esta configuración, cuando la cola de auditoría de núcleo está completa, el sistema sigue funcionando. El sistema cuenta los registros de auditoría que se descartan, pero no registra los eventos. Para mayor seguridad, puede deshabilitar la política cnt y habilitar la política ahlt. La política ahlt detiene el sistema cuando un evento asíncrono no se puede ubicar en la cola de auditoría.
Para ver una explicación de estas opciones de política, consulte Políticas de auditoría para eventos síncronos y asíncronos. Para configurar estas opciones de política, consulte el Ejemplo 28-6.
Sin embargo, si la cola audit_binfile está completa y la cola para otro complemento activo no está completa, entonces la cola del núcleo seguirá enviando registros al complemento que no está completo. Cuando la cola audit_binfile puede aceptar registros nuevamente, el servicio de auditoría volverá a enviarlos allí.
Nota - La política cnt o ahlt no se activa si la cola para al menos un complemento está aceptando registros de auditoría.