Planificación de la auditoría (tareas)

Desea ser selectivo sobre los tipos de actividades que se auditan. Al mismo tiempo, desea recopilar información de auditoría útil. También debe planificar cuidadosamente a quién auditar y qué auditar. Si utiliza el complemento audit_binfile predeterminado, los archivos de auditoría pueden crecer rápidamente para llenar el espacio disponible, por lo tanto debe asignar suficiente especio en disco.

El siguiente mapa de tareas hace referencia a las tareas principales necesarias para planificar el espacio en disco y los eventos que se deben registrar.

Cómo planificar auditoría en zonas

Si su sistema contiene zonas no globales, las zonas se pueden auditar cuando se audita la zona global, o el servicio de auditoría para cada zona no global se puede configurar, activar y desactivar por separado. Por ejemplo, puede auditar sólo las zonas no globales sin auditar la zona global.

Para ver una explicación de las compensaciones, consulte Auditoría en un sistema con zonas de Oracle Solaris.

• Elija una de las siguientes opciones:
  • OPCIÓN 1: Configurar un único servicio de auditoría para todas las zonas.

    Auditar todas las zonas de manera idéntica puede crear una pista de auditoría de imagen única. Una pista de auditoría de imagen única se produce cuando utiliza audit_binfile o el complemento audit_remote, y todas las zonas en un sistema son parte de un solo dominio administrativo. Los registros de auditoría se pueden comparar fácilmente porque los registros en cada zona están preseleccionados con valores de configuración idénticos.

    Esta configuración trata todas las zonas como parte de un sistema. La zona global ejecuta el único servicio de auditoría en un sistema y recopila registros de auditoría para cada zona. Se personalizan los archivos audit_class y audit_event sólo en la zona global y, a continuación, se copian estos archivos en cada zona no global.

    1. Utilice el mismo servicio de nombres para cada zona.

       ---

       Nota - Si los archivos de servicio de nombres están personalizados en zonas no globales y la política perzone no está establecida, se requiere el uso cuidadoso de herramientas de auditoría para seleccionar registros utilizables. Un ID de usuario en una zona puede hacer referencia a un usuario diferente del mismo ID en una zona diferente.

       ---

    2. Permita que los registros de auditoría incluyan el nombre de la zona.

       Para colocar el nombre de zona como parte del registro de auditoría, establezca la política zonename en la zona global. El comando auditreduce podrá seleccionar luego los eventos de auditoría por zona de la pista de auditoría. Si desea ver un ejemplo, consulte la página del comando man auditreduce(1M).

    Para planificar una pista de auditoría de imagen única, consulte Cómo planificar a quién y qué auditar. Comience con el primer paso. El administrador de la zona global también debe dejar a un lado el almacenamiento, como se describe en Cómo planificar espacio en el disco para los registros de auditoría.

  • OPCIÓN 2: Configurar un servicio de auditoría por zona.

    Opte por configurar la auditoría por zona si diferentes zonas usan diferentes bases de datos de servicio de nombres o si los administradores de zonas desean controlar la auditoría en sus zonas.

    ---

    Nota - Para auditar zonas no globales, se debe establecer la política perzone, pero el servicio de auditoría no tiene que estar activado en la zona global. La auditoría de la zona no global se configura y el servicio de auditoría se activa y desactiva independientemente de la zona global.

    ---

    • Cuando configura la auditoría por zona, establece la política de auditoría perzone en la zona global. Si la auditoría por zona se establece antes de que se inicie por primera vez la zona no global, la auditoría comienza en el primer inicio de la zona. Para establecer una política de auditoría, consulte Cómo configurar la auditoría por zona.

    • Cada administrador de zona configura la auditoría para la zona.

      Un administrador de zona no global puede establecer todas las opciones de política excepto perzone y ahlt.

    • Cada administrador de zona puede activar o desactivar la auditoría en la zona.

    • Para generar registros que puedan rastrearse a sus respectivas zonas de origen durante la revisión, establezca la política de auditoría zonename.

    Para planificar auditoría por zona, consulte Cómo planificar a quién y qué auditar. Puede saltear el primer paso. Si el complemento audit_binfile está activo, cada administrador de zona debe dejar a un lado el almacenamiento para cada zona, como se describe en Cómo planificar espacio en el disco para los registros de auditoría.

Cómo planificar a quién y qué auditar

Antes de empezar

Si implementa zonas no globales, revise Cómo planificar auditoría en zonas antes de utilizar este procedimiento.

1. Determine si desea una pista de auditoría de imagen de sistema único.

   ---

   Nota - Este paso se aplica sólo al complemento audit_binfile.

   ---

   Los sistemas dentro de un único dominio administrativo pueden crear una pista de auditoría de imagen de sistema único. Si los sistemas utilizan diferentes servicios de nombres, comience con el Paso 2. Luego, complete el resto de los pasos de planificación para cada sistema.

   Para crear una pista de auditoría de imagen de sistema único para un sitio, cada sistema en la instalación debe configurarse como se indica a continuación:

   • Utilice el mismo servicio de nombres para todos los sistemas.

     Para una correcta interpretación de los registros de auditoría, los archivos passwd, group y hosts deben ser consistentes.

   • Configure el servicio de auditoría de manera idéntica en todos los sistemas. Para obtener información sobre la visualización y modificación de la configuración de servicio, consulte la página del comando man auditconfig(1M).

   • Utilice los mismos archivos audit_warn, audit_event y audit_class para todos los sistemas.

2. Determine la política de auditoría.

   De manera predeterminada, sólo la política cnt está activa.

   Utilice el comando auditconfig -lspolicy para ver una descripción de opciones de políticas disponibles.

   • Para ver los efectos de las opciones de política, consulte Comprensión de la política de auditoría.

   • Para el efecto de la política cnt, consulte Políticas de auditoría para eventos síncronos y asíncronos.

   • Para establecer una política de auditoría, consulte Cómo cambiar la política de auditoría.

3. Determine si desea modificar asignaciones evento-clase.

   En la mayoría de las situaciones, la asignación predeterminada es suficiente. Sin embargo, si agrega nuevas clases, cambia las definiciones de clase o determina que un registro de una llamada del sistema específica no es útil, es posible que desee modificar asignaciones de evento-clase.

   Para obtener un ejemplo, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría.

4. Determine las clases de auditoría que se van preseleccionar.

   La mejor hora para agregar clases de auditoría o cambiar las clases predeterminadas es antes de que los usuarios inicien sesión en el sistema.

   Las clases de auditoría que preselecciona con las opciones -setflags y -setnaflags para el comando auditconfig se aplican a todos los usuarios y procesos. Puede preseleccionar una clase para comprobar si es correcta, si tiene fallos o ambas cosas.

   Para la lista de clases de auditoría, lea el archivo /etc/security/audit_class.

5. Determine modificaciones de usuario para preselecciones en todo el sistema.

   Si ha decidido que algunos usuarios se deben auditar de manera diferente en el sistema, puede modificar el atributo de seguridad audit_flags para usuarios individuales o para un perfil de derechos. La máscara de preselección de usuario se modifica para los usuarios cuyos indicadores de auditoría se definen explícitamente o a quienes se les asigna un perfil de derechos con indicadores de auditoría explícitos.

   Para conocer el procedimiento, consulte Cómo configurar las características de auditoría de un usuario. Para conocer los valores de indicadores que están vigentes, consulte Orden de búsqueda para atributos de seguridad asignados.

6. Decida cómo gestionar el alias de correo electrónico audit_warn.

   La secuencia de comandos audit_warn se ejecuta siempre que el sistema de auditoría detecta una situación que requiere atención administrativa. De manera predeterminada, la secuencia de comandos audit_warn envía un correo electrónico al alias audit_warn y envía un mensaje a la consola.

   Para configurar el alias, consulte Cómo configurar el alias de correo electrónico audit_warn.

7. Decidida en qué formato y dónde recopilar registros de auditoría.

   Dispone de tres opciones.

   • De manera predeterminada, los registros de auditoría binarios se almacenan localmente. El directorio de almacenamiento predeterminado es /var/audit. Para más opciones de configuración del complemento audit_binfile, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría.

   • Envíe registros de auditoría binarios a un repositorio protegido remoto mediante el complemento audit_remote. Debe tener un receptor para los registros. Para conocer los requisitos, consulte Gestión de un repositorio remoto. Para conocer el procedimiento, consulte Cómo enviar archivos de auditoría a un repositorio remoto.

   • Envíe resúmenes de registros de auditoría a syslog utilizando el complemento audit_syslog. Para conocer el procedimiento, consulte Cómo configurar registros de auditoría syslog.

     Para una comparación de formatos syslog y binarios, consulte Registros de auditoría.

8. Determine cuándo advertir al administrador sobre la reducción de espacio en disco.

   ---

   Nota - Este paso se aplica sólo al complemento audit_binfile.

   ---

   Cuando el espacio en disco en un sistema de archivos de auditoría está por debajo del porcentaje de espacio libre mínimo, o límite dinámico, el servicio de auditoría cambia al siguiente directorio de auditoría disponible. A continuación, el servicio envía una advertencia de que el límite dinámico se ha excedido.

   Para establecer un porcentaje de espacio libre mínimo, consulte el Ejemplo 28-17.

9. Decida la acción que se llevará a cabo cuando todos los directorios de auditoría estén completos.

   ---

   Nota - Este paso se aplica sólo al complemento audit_binfile.

   ---

   En la configuración predeterminada, el complemento audit_binfile está activo y la política cnt está establecida. En esta configuración, cuando la cola de auditoría de núcleo está completa, el sistema sigue funcionando. El sistema cuenta los registros de auditoría que se descartan, pero no registra los eventos. Para mayor seguridad, puede desactivar la política cnt y activar la política ahlt. La política ahlt detiene el sistema cuando un evento asíncrono no se puede ubicar en la cola de auditoría.

   Para ver una explicación de estas opciones de política, consulte Políticas de auditoría para eventos síncronos y asíncronos. Para configurar estas opciones de política, consulte el Ejemplo 28-6.

   Sin embargo, si la cola audit_binfile está completa y la cola para otro complemento activo no está completa, entonces la cola del núcleo seguirá enviando registros al complemento que no está completo. Cuando la cola audit_binfile puede aceptar registros nuevamente, el servicio de auditoría volverá a enviarlos allí.

   ---

   Nota - La política cnt o ahlt no se activa si la cola para al menos un complemento está aceptando registros de auditoría.

   ---

Cómo planificar espacio en el disco para los registros de auditoría

El complemento audit_binfile crea una pista de auditoría. La pista de auditoría requiere espacio de archivo dedicado. Este espacio debe estar disponible y debe ser seguro. El sistema utiliza el sistema de archivos /var/audit para almacenamiento inicial. Puede configurar sistemas de archivos de auditoría adicionales para los archivos de auditoría. El siguiente procedimiento trata los problemas que debe resolver cuando planifica el almacenamiento de la pista de auditoría.

Antes de empezar

Si implementa zonas no globales, complete Cómo planificar auditoría en zonas antes de utilizar este procedimiento.

Utiliza el complemento audit_binfile.

1. Determine cuánta auditoría necesita el sitio.

   Equilibre las necesidades de seguridad del sitio con la disponibilidad de espacio en disco para la pista de auditoría.

   Para obtener indicaciones acerca de cómo reducir los requisitos de espacio manteniendo la seguridad del sitio y cómo diseñar el almacenamiento de auditoría, consulte Control de costos de auditoría y Auditoría eficaz.

   Para conocer los pasos prácticos, consulte Cómo reducir el volumen de los registros de auditoría que se producen, Cómo comprimir archivos de auditoría en un sistema de archivos dedicado y el Ejemplo 28-30.

2. Determine qué sistemas se van a auditar y configure sus sistemas de archivos de auditoría.

   Cree una lista de todos los sistemas de archivos de auditoría que se van a utilizar. Para directrices de configuración, consulte Almacenamiento y gestión de la pista de auditoría y la página del comando man auditreduce(1M). Para especificar los sistemas de archivos de auditoría, consulte Cómo asignar espacio de auditoría para la pista de auditoría.

3. Sincronice los relojes en todos los sistemas.

   Para obtener más información, consulte Indicaciones de hora confiables.

Cómo prepararse para transmitir los registros de auditoría al almacenamiento remoto

El complemento audit_remote envía la pista de auditoría binaria a un ARS en el mismo formato que el complemento audit_binfile escribe en los archivos de auditoría locales. El complemento audit_remote utiliza la biblioteca libgss para autenticar el ARS y un mecanismo GSS-API para proteger la transmisión con privacidad e integridad. Como referencia, consulte ¿Qué es el servicio Kerberos? y Componentes de Kerberos.

El único mecanismo GSS-API que se admite actualmente es kerberosv5. Para obtener más información, consulte la página del comando man mech(4).

Antes de empezar

Tiene planificado usar el complemento audit_remote.

1. Cree un dominio Kerberos para sus sistemas auditados.
   1. Instale el paquete KDC principal.

      Puede utilizar el sistema que actuará como ARS o puede utilizar un sistema cercano. El ARS envía una cantidad considerable de tráfico de autenticación al KDC principal.

      Si los paquetes Kerberos ya están en el sistema, la salida es similar a lo siguiente:

      # pkg search -l kerberos-5
      INDEX      ACTION       VALUE                  PACKAGE
      pkg.summary   set  Kerberos version 5 support  pkg:/service/security/kerberos-5@vn
      pkg.summary   set  Kerberos V5 Master KDC      pkg:/system/security/kerberos-5@vn

      El primer comando comprueba si paquete está instalado KDC principal de Kerberos V5 está instalado. El segundo comando instala el paquete.

      # pkg info system/security/kerberos-5
      pkg: info: no packages matching these patterns are installed on the system.
      # pkg install pkg:/system/security/kerberos-5

      En el KDC principal, usa los comandos kdcmgr y kadmin de Kerberos para gestionar el dominio. Para obtener más información, consulte las páginas del comando man kdcmgr(1M) y kadmin(1M).

2. En cada sistema auditado que enviará registros de auditoría al ARS, instale el paquete KDC principal.

   # pkg install pkg:/system/security/kerberos-5

   Este paquete incluye el comando kclient. En estos sistemas, ejecuta el comando kclient para conectarse con el KDC. Para obtener referencias, consulte la página del comando man kclient(1M).

3. Sincronice los relojes en el dominio de KDC.

   Si el sesgo de reloj es demasiado grande entre los sistemas auditados y el ARS, el intento de conexión fallará. Después de establecer una conexión, la hora local del ARS determina los nombres de los archivos de auditoría almacenados, como se describe en Convenciones de nombres de archivos de auditoría binarios.

   Para obtener más información sobre los relojes, consulte Indicaciones de hora confiables.