Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
Herramienta básica de creación de informes de auditoría (descripción general)
Consideraciones de seguridad de BART
Cómo personalizar un manifiesto
Cómo comparar manifiestos para el mismo sistema a lo largo del tiempo
Cómo comparar manifiestos de diferentes sistemas
Cómo personalizar un informe de BART especificando atributos de archivos
Cómo personalizar un informe de BART mediante un archivo de reglas
Manifiestos, archivos de reglas e informes de BART (referencia)
Formato de archivo de manifiesto de BART
Formato de archivo de reglas de BART
Atributos de archivo de reglas
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Puede ejecutar el comando bart como un usuario común, un superusuario o un usuario que ha asumido un rol. Si ejecuta el comando bart como un usuario común, sólo podrá catalogar y supervisar archivos para los que tiene permiso de acceso, como los archivos en el directorio principal. La ventaja de convertirse en superusuario al ejecutar el comando bart es que los manifiestos que crea contienen información sobre archivos ocultos y privados que posiblemente desee supervisar. Si necesita catalogar y supervisar información sobre archivos con permisos restringidos, por ejemplo, el archivo /etc/passwd o /etc/shadow, ejecute el comando bart como superusuario. Para obtener más información sobre el uso del control de acceso basado en roles, consulte Control de acceso basado en roles (descripción general).
Si ejecuta el comando bart como superusuario, la salida es legible para todos los usuarios. Esta salida puede contener nombres de archivos que deberían ser privados. Si se convierte en superusuario al ejecutar el comando bart, tome las medidas adecuadas para proteger la salida. Por ejemplo, utilice opciones que generen archivos de salida con permisos restrictivos.
Nota - Los procedimientos y ejemplos que se presentan en este capítulo muestran el comando bart ejecutado por el superusuario. A menos que se especifique lo contrario, la ejecución del comando bart como superusuario es opcional.
|
Puede crear un manifiesto de un sistema inmediatamente después de la instalación inicial del software Oracle Solaris. Este tipo de manifiesto proporciona un punto de partida para comparar los cambios realizados en el mismo sistema a lo largo del tiempo. O bien, puede utilizar este manifiesto para compararlo con los manifiestos para diferentes sistemas. Por ejemplo, si toma una instantánea de cada sistema de la red y, a continuación, compara cada manifiesto de prueba con el manifiesto de control, puede determinar rápidamente lo que necesita hacer para sincronizar el sistema de prueba con la configuración de punto de partida.
Antes de empezar
Para crear un manifiesto del sistema, debe tener el rol root.
# bart create options > control-manifest
Especifica el directorio raíz para el manifiesto. Todas las rutas especificadas por las reglas se interpretan en relación con este directorio. Todas las rutas informadas en el manifiesto están relacionadas con este directorio.
Acepta una lista de archivos individuales para catalogarlos, ya sea en la línea de comandos o leídos de la entrada estándar.
Nombre del archivo de reglas para este manifiesto. Tenga en cuenta que, cuando – se utiliza con la opción -r, el archivo de reglas se lee desde la entrada estándar.
Desactiva firmas de contenido para todos los archivos regulares en la lista de archivos. Esta opción se puede utilizar mejorar el rendimiento. De manera alternativa, puede utilizar esta opción si se espera que cambie el contenido de la lista de archivos, como en el caso de los archivos de registro del sistema.
Elija un nombre significativo para el manifiesto. Por ejemplo, utilice el nombre del sistema y la fecha en que se creó el manifiesto.
Ejemplo 6-1 Creación de un manifiesto que muestra información sobre cada archivo de un sistema
Si ejecuta el comando bart create sin ninguna opción, se cataloga la información sobre cada archivo instalado en el sistema. Utilice este tipo de manifiesto como un punto de partida al instalar muchos sistemas desde una imagen central. O bien, utilice este tipo de manifiesto para realizar comparaciones cuando desee asegurarse de que las instalaciones sean idénticas.
Por ejemplo:
# bart create ! Version 1.1 ! HASH SHA256 ! Wednesday, September 07, 2011 (22:22:27) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode / D 1024 40755 user::rwx,group::r-x,mask:r-x,other:r-x 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 0 0 . . . /zone D 512 40755 user::rwx group::r-x,mask:r-x,other:r-x 3f81e892 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 0 0 . . .
Cada manifiesto consta de un encabezado y entradas. Cada entrada de archivo de manifiesto consiste en una sola línea, según el tipo de archivo. Por ejemplo, para cada entrada de manifiesto en la salida anterior, el tipo F especifica un archivo y el tipo D especifica un directorio. También se muestra información sobre el tamaño, el contenido, el ID de usuario, el ID de grupo y los permisos. Las entradas de archivos en la salida se ordenan por versiones codificadas de los nombres de archivos, a fin de manejar correctamente los caracteres especiales. Todas las entradas se ordenan de manera ascendente por nombre de archivo. En todos los nombres de archivos no estándar, como los que contienen caracteres de tabulación o de línea nueva incrustados, los caracteres no estándar se escriben entre comillas antes de ordenar las entradas.
Las líneas que empiezan por ! proporcionan metadatos sobre el manifiesto. La línea de versión del manifiesto indica la versión de especificación del manifiesto. La línea hash indica el mecanismo hash que se utilizó. La línea de fecha muestra la fecha en la que se creó el manifiesto, en formato de fecha. Consulte la página del comando man date(1). La herramienta de comparación de manifiestos ignora algunas líneas. Las líneas ignoradas incluyen líneas en blanco, líneas que contienen sólo espacios en blanco y comentarios que empiezan por #.
Puede personalizar un manifiesto de una de las siguientes formas:
Especificando un subárbol
Crear un manifiesto para un subárbol individual de un sistema es una forma eficaz de supervisar cambios en archivos específicos, en lugar de todo el contenido de un directorio grande. Puede crear un manifiesto de punto de partida de un subárbol específico del sistema y, luego, crear periódicamente manifiestos de prueba del mismo subárbol. Utilice el comando bart compare para comparar el manifiesto de control con el manifiesto de prueba. Al utilizar esta opción, puede supervisar eficazmente sistemas de archivos importantes para determinar si algún archivo se vio comprometido por un intruso.
Especificando un nombre de archivo
Dado que la creación de un manifiesto que cataloga todo el sistema requiere más tiempo, ocupa más espacio y es más costosa, posiblemente elija utilizar esta opción del comando bart cuando sólo desee mostrar información sobre un archivo o sobre archivos específicos de un sistema.
Mediante un archivo de reglas
Puede utilizar un archivo de reglas para crear manifiestos personalizados que muestren información sobre archivos específicos y subárboles específicos de un sistema determinado. También puede utilizar un archivo de reglas para supervisar atributos de archivos específicos. Usar un archivo de reglas para crear y comparar manifiestos le ofrece flexibilidad para especificar varios atributos para más de un archivo o subárbol. Mientras que, desde la línea de comandos, sólo puede especificar una definición global de atributos que se aplica a todos los archivos para cada manifiesto que cree o cada informe que genere.
Antes de empezar
Debe tener el rol root.
Especificando un subárbol:
# bart create -R root-directory
Especificando un nombre de archivo o nombres de archivos:
# bart create -I filename...
Por ejemplo:
# bart create -I /etc/system /etc/passwd /etc/shadow
Mediante un archivo de reglas:
# bart create -r rules-file
Utilice este procedimiento si desea supervisar cambios en el nivel de archivo realizados en el mismo sistema a lo largo del tiempo. Este tipo de manifiesto puede ayudar a encontrar archivos dañados o poco comunes, detectar infracciones de seguridad o solucionar problemas de rendimiento en un sistema.
Antes de empezar
Para crear y comparar manifiestos que incluyen objetos públicos, debe tener el rol root.
# bart create -R /etc > control-manifest
# bart create -R /etc > test-manifest
# bart compare options control-manifest test-manifest > bart-report
Nombre del archivo de reglas para esta comparación. Cuando la opción -r se utiliza con –, las directivas se leen desde la entrada estándar.
Permite que el usuario defina directivas IGNORE globales de la línea de comandos.
Modo programático que genera una salida estándar no localizada para el análisis programático.
Salida del comando bart create para el sistema de control.
Salida del comando bart create del sistema de prueba.
Ejemplo 6-2 Comparación de manifiestos para el mismo sistema a lo largo del tiempo
En este ejemplo, se muestra cómo supervisar los cambios que se produjeron en el directorio /etc entre dos puntos en el tiempo. Este tipo de comparación permite determinar rápidamente si hay archivos importantes del sistema que se vieron comprometidos.
Cree un manifiesto de control.
# bart create -R /etc > system1.control.090711 ! Version 1.1 ! HASH SHA256 ! Wednesday, September 07, 2011 (11:11:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 /.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize :allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e . . .
Cree un manifiesto de prueba cuando desee supervisar cambios realizados en el directorio /etc.
# bart create -R /etc > system1.test.101011 Version 1.1 ! HASH SHA256 ! Monday, October 10, 2011 (10:10:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 . . .
Compare el manifiesto de control con el manifiesto de prueba.
# bart compare system1.control.090711 system1.test.101011 /security/audit_class mtime 4f272f59
La salida anterior indica que la hora de modificación del archivo audit_class ha cambiado desde la creación del manifiesto de control. Este informe se puede utilizar para investigar si la propiedad, la fecha, el contenido o cualquier otro atributo del archivo han cambiado. Contar con este tipo de información fácilmente disponible puede ayudarlo a averiguar quién podría haber alterado el archivo y cuándo se podría haber producido el cambio.
Puede ejecutar comparaciones entre sistemas, lo cual le permite determinar rápidamente si existen diferencias en el nivel de archivo entre un sistema de punto de partida y los otros sistemas. Por ejemplo, si ha instalado una versión determinada del software Oracle Solaris en un sistema de punto de partida y desea saber si hay otros sistemas que tengan paquetes idénticos instalados, puede crear manifiestos para esos sistemas y, luego, comparar los manifiestos de prueba con el manifiesto de control. Este tipo de comparación muestra las discrepancias existentes en el contenido del archivo para cada sistema de prueba que se compare con el sistema de control.
Antes de empezar
Para comparar manifiestos del sistema, debe tener el rol root.
# bart create options > control-manifest
# bart create options > test1-manifest
Elija un nombre significativo y único para el manifiesto de prueba.
Por ejemplo:
# cp manifiesto_control/red/servidor_prueba/bart/manifiestos
Si el sistema de prueba no es un sistema montado en NFS, use FTP o algún otro medio confiable para copiar el manifiesto de control al sistema de prueba.
# bart compare control-manifest test1-manifest > test1.report
Use las mismas opciones de bart para cada sistema de prueba.
Ejemplo 6-3 Comparación de manifiestos de diferentes sistemas con el manifiesto de un sistema de control
En este ejemplo, se describe cómo supervisar los cambios en el contenido del directorio /usr/bin comparando un manifiesto de control con un manifiesto de prueba de un sistema diferente.
Cree un manifiesto de control.
# bart create -R /usr/bin > control-manifest.090711 ! Version 1.1 ! HASH SHA256 ! Wednesday, September 07, 2011 (11:11:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /2to3 F 105 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribut es/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:read _data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:re ad_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4bf9d261 0 2 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 /7z F 509220 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribu tes/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:rea d_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:r ead_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4dadc48a 0 2 3ecd418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 ...
Cree un manifiesto de prueba para cada sistema que desee comparar con el sistema de control.
# bart create -R /usr/bin > system2-manifest.101011 ! Version 1.1 ! HASH SHA256 ! Monday, October 10, 2011 (10:10:22) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /2to3 F 105 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribut es/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:read _data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:re ad_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4bf9d261 0 2 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 ...
Si desea comparar manifiestos, copie los manifiestos en la misma ubicación.
# cp control-manifest /net/system2.central/bart/manifests
Compare el manifiesto de control con el manifiesto de prueba.
# bart compare control-manifest system2.test > system2.report /su: gid control:3 test:1 /ypcat: mtime control:3fd72511 test:3fd9eb23
La salida anterior indica que el ID de grupo del archivo su en el directorio /usr/bin no es el mismo que el del sistema de control. Esta información puede ser útil para determinar si se instaló en el sistema de prueba una versión diferente del software o si es posible que alguien haya alterado el archivo.
Este procedimiento es opcional y explica cómo personalizar un informe de BART especificando atributos de archivos de la línea de comandos. Si crea un manifiesto de punto de partida que muestra información sobre todos los archivos o sobre archivos específicos del sistema, puede ejecutar el comando bart compare y especificar atributos diferentes cada vez que necesite supervisar los cambios realizados en un directorio, un subdirectorio o en archivos determinados. Puede ejecutar distintos tipos de comparaciones para los mismos manifiestos especificando atributos de archivos diferentes de la línea de comandos.
Antes de empezar
Debe tener el rol root.
Prepare el manifiesto de prueba de manera idéntica al manifiesto de control.
Por ejemplo:
# bart compare -i dirmtime,lnmtime,mtime control-manifest.121503 \ test-manifest.010504 > bart.report.010504
Tenga en cuenta que una coma separa cada atributo que especifique en la sintaxis de la línea de comandos.
Este procedimiento también es opcional y explica cómo personalizar un informe de BART mediante un archivo de reglas como entrada para el comando bart compare. Mediante un archivo de reglas, puede personalizar un informe de BART, lo cual le ofrece flexibilidad para especificar varios atributos para más de un archivo o subárbol. Puede ejecutar distintas comparaciones para los mismos manifiestos mediante archivos de reglas diferentes.
Antes de empezar
Debe tener el rol root.
# bart create -r rules-file > control-manifest
# bart create -r rules-file > test-manifest
# bart compare -r rules-file control-manifest test-manifest > bart.report
Ejemplo 6-4 Personalización de un informe de BART mediante un archivo de reglas
El siguiente archivo de reglas incluye directivas para los comandos bart create y bart compare. El archivo de reglas le indica al comando bart create que muestre información sobre el contenido del directorio /usr/bin. Además, el archivo de reglas le indica al comando bart compare que sólo realice un seguimiento de los cambios de tamaño y contenido en el mismo directorio.
# Check size and content changes in the /usr/bin directory. # This rules file only checks size and content changes. # See rules file example. IGNORE all CHECK size contents /usr/bin
Cree un manifiesto de control mediante el archivo de reglas que ha creado.
# bart create -r bartrules.txt > usr_bin.control-manifest.121003
Cree un manifiesto de prueba cada vez que desee supervisar cambios realizados en el directorio /usr/bin.
# bart create -r bartrules.txt > usr_bin.test-manifest.121103
Compare los manifiestos utilizando el mismo archivo de reglas.
# bart compare -r bartrules.txt usr_bin.control-manifest \ usr_bin.test-manifest
Examine la salida del comando bart compare.
/usr/bin/gunzip: add /usr/bin/ypcat: delete
En la salida anterior, el comando bart compare informó una discrepancia en el directorio /usr/bin. Esta salida indica que se eliminó el archivo /usr/bin/ypcat y se agregó el archivo /usr/bin/gunzip.