Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
31. Auditoría de Oracle Solaris (referencia)
Archivos utilizados en el servicio de auditoría
Secuencia de comandos audit_startup
Perfiles de derechos para administración de auditoría
Auditoría y zonas de Oracle Solaris
Definiciones de clases de auditoría
Sintaxis de la clase de auditoría
Características de auditoría de proceso
Convenciones de nombres de archivos de auditoría binarios
Nombres de archivos de auditoría binarios
Indicadores de hora de archivos de auditoría binarios
Estructura de registro de auditoría
Análisis de registro de auditoría
El servicio de auditoría utiliza los siguientes archivos:
El archivo /etc/system contiene comandos que el núcleo lee durante la inicialización para personalizar las operaciones de sistema. Las secuencias de comandos de shell bsmconv y bsmunconv, que se usan para activar y desactivar la auditoría, modifican el archivo /etc/system. La secuencia de comandos de shell bsmconv agrega la línea siguiente al archivo /etc/system:
set c2audit:audit_load=1
La entrada set c2audit:audit_load=1 hace que el módulo de núcleo para auditar se cargue al reiniciar el sistema. La secuencia de comandos bsmunconv deshabilita la auditoría cuando el sistema se reinicia. El comando elimina la línea c2audit del archivo /etc/system.
El archivo /etc/syslog.conf trabaja con el complemento audit_syslog.so para almacenar los registros de auditoría en texto. El archivo syslog.conf puede configurarse para permitir que la utilidad syslog almacene registros de auditoría. Para obtener un ejemplo, consulte Cómo configurar registros de auditoría syslog.
El archivo /etc/security/audit_class define las clases de auditoría. Las clases de auditoría son grupos de eventos de auditoría. Utiliza el nombre de la clase en el archivo audit_control para preseleccionar las clases cuyos eventos desea auditar. Las clases aceptan prefijos para seleccionar sólo los eventos con fallos o sólo los eventos correctos. Para obtener más información, consulte Sintaxis de la clase de auditoría.
El superusuario, o un administrador en un rol equivalente, puede modificar las definiciones de las clases de auditoría. Este administrador puede definir nuevas clases de auditoría, cambiar el nombre de clases existentes o cambiar clases existentes al editar el archivo audit_class en un editor de texto. Para obtener más información, consulte la página del comando man audit_class(4).
El archivo /etc/security/audit_control en cada sistema contiene información de configuración para el daemon auditd. El archivo permite que cada sistema monte un sistema de archivos de auditoría remoto para almacenar sus registros de auditoría.
Puede especificar cinco tipos de información en el archivo audit_control. Cada línea de información comienza con una palabra clave.
Palabra clave flags: inicia la entrada que preselecciona qué clases de eventos se auditan para todos los usuarios en el sistema. Las clases de auditoría especificadas aquí determinan la máscara de preselección de auditoría de todo el sistema. Las clases de auditoría se separan por comas.
Palabra clave naflags: inicia la entrada que preselecciona qué clases de eventos se auditan cuando una acción no se puede atribuir a un usuario específico. Las clases de auditoría se separan por comas. La clase de evento na pertenece a esta entrada. La entrada naflags se puede utilizar para registrar otras clases de eventos que normalmente son atribuibles, pero que no pueden ser atribuidas. Por ejemplo, si un programa que arranca en el inicio lee un archivo, entonces un fr en la entrada naflags crearía un registro para ese evento.
Palabra clave minfree: esta palabra clave se descarta. Utilice el atributo p_minfree para el complemento audit_binfile.so.
El atributo p_minfree define el nivel de espacio libre mínimo para todos los sistemas de archivos de auditoría como un porcentaje. El porcentaje debe ser igual a 0 o mayor que 0. El valor predeterminado es 20%. Cuando un sistema de archivos de auditoría está un 80% completo, los datos de auditoría se almacenan en el siguiente directorio de auditoría disponible. Para obtener más información, consulte la página del comando man audit_warn(1M).
Palabra clave dir: esta palabra clave se descarta. Utilice el atributo p_dir para el complemento audit_binfile.so.
El atributo p_dir muestra las ubicaciones de directorio. Cada valor de línea define un sistema de archivos de auditoría y un directorio que el sistema utiliza para almacenar sus archivos de auditoría. Puede especificar una o más ubicaciones de directorio. El orden de los valores es significativo. El daemon auditd crea archivos de auditoría en los directorios en el orden especificado. El primer directorio es el directorio de auditoría principal del sistema. El segundo directorio es el directorio de auditoría secundario donde el daemon auditd crea archivos de auditoría cuando el primer directorio se llena, y así sucesivamente. Para obtener más información, consulte la página del comando man audit(1M).
Palabra clave plugin: especifica la ruta del complemento para los módulos de complemento audit_binfile.so y audit_syslog.so. El módulo audit_binfile.so maneja la creación de archivos de auditoría binarios. El módulo audit_syslog.so proporciona en tiempo real conversión a texto de los registros de auditoría de Oracle Solaris. Las clases de auditoría que se especifican en el atributo p_flags del complemento audit_syslog.so deben ser un subconjunto de las clases de auditoría preseleccionadas.
Para obtener más información acerca del archivo audit_control, consulte la página del comando man audit_control(4). Para obtener más información acerca de los complementos, consulte Complementos de auditoría y las páginas del comando man audit_binfile(5) y audit_syslog(5).
Ejemplo 31-2 Muestra: archivo audit_control
El siguiente es un archivo de muestra audit_control para el sistema noddy. noddy usa dos sistemas de archivos de auditoría en el servidor de auditoría blinken y usa un tercer sistema de archivos de auditoría montado desde el segundo servidor de auditoría winken. El tercer sistema de archivos sólo se utiliza cuando los sistemas de archivos de auditoría en blinken se llenan o no están disponibles. El valor minfree de 20% especifica que la secuencia de comandos de advertencia se ejecute cuando los sistemas de archivos estén un 80% llenos. Los valores especifican que los inicios de sesión y las operaciones administrativas se van a auditar. Se auditan las operaciones para determinar si son correctas o si fallaron. Se auditan los fallos de todos los tipos, excepto los fallos para crear un objeto de sistema de archivos. También se auditan los eventos no atribuibles. El registro de auditoría syslog registra menos eventos de auditoría. Este registro contiene resúmenes de texto de inicios de sesión fallidos y operaciones administrativas fallidas.
En la versión Solaris 10, las líneas dir y minfree se descartaron. En el ejemplo siguiente, las líneas plugin no contienen un salto de línea.
flags:lo,am,-all,^-fc naflags:lo,nt plugin:name=audit_binfile.so; p_minfree=20; p_dir=/var/audit/blinken/files, /var/audit/blinken.1/files,/var/audit/winken plugin:name=audit_syslog.so; p_flags=-lo,-am
El archivo /etc/security/audit_event contiene las asignaciones de evento-clase de auditoría predeterminadas. Puede editar este archivo para cambiar las asignaciones de clase. Al cambiar las asignaciones de clase, debe reiniciar el sistema o ejecutar el comando auditconfig -conf para leer las asignaciones cambiadas en el núcleo. Para obtener más información, consulte la página del comando man audit_event(4).
La secuencia de comandos /etc/security/audit_startup configura automáticamente el servicio de auditoría cuando el sistema ingresa en el modo multiusuario. El daemon auditd se inicia después de que la secuencia de comandos realiza las siguientes tareas:
Configurar las asignaciones de evento-clase de auditoría
Establecer las opciones de la política de auditoría
Para obtener más información, consulte la página del comando man audit_startup(1M).
La base de datos /etc/security/audit_user modifica las clases preseleccionadas de todo el sistema para un usuario individual. Las clases que agregue a una entrada de usuario en la base de datos audit_user modifican los valores del archivo audit_control de dos formas:
Especificando las clases de auditoría que siempre se van a auditar para este usuario
Especificando las clases de auditoría que nunca se van a auditar para este usuario
Cada entrada de usuario en la base de datos audit_user contiene tres campos:
username:always-audit-classes:never-audit-classes
Los campos de auditoría se procesan en secuencia.
El campo siempre_auditar_clases activa la auditoría de las clases en ese campo. Utilice este campo para modificar los valores en todo el sistema. Por ejemplo, si coloca all en el campo siempre_auditar_clases audita todo para un usuario.
El campo nunca_auditar_clases desactiva la auditoría de las clases en ese campo. Utilice este campo para sustituir configuraciones del sistema. Si pone all en el campo nunca_auditar_clases, desactiva todas las auditorías para el usuario, incluso las clases de auditoría especificadas en el archivo audit_control.
Suponga que desea aplicar la configuración de auditoría de todo el sistema al usuario tamiko, excepto para las lecturas correctas de los objetos de sistema de archivos. Tenga en cuenta los segundos dos puntos (:) en la siguiente entrada audit_user:
tamiko:^+fr:no modify system defaults for fr
La entrada anterior significa “siempre auditar todo, excepto lecturas de archivos correctas”.
Si desea realizar una auditoría todo para el usuario tamiko con la excepción de las lecturas de archivos correctas, utilice la siguiente entrada:
tamiko:all,^+fr:no audit everything except fr
Suponga que desea sustituir los ajustes predeterminados del sistema para las lecturas de archivos correctas del usuario tamiko. La siguiente entrada significa “auditar siempre todo, pero nunca lecturas de archivos correctas de auditoría”.
tamiko:all:+fr override system defaults for fr
Nota - Los eventos correctos y los eventos con fallos se tratan por separado. Un proceso puede generar más registros de auditoría para eventos que han fallado que para eventos correctos.
La secuencia de comandos /etc/security/audit_warn notifica a un alias de correo electrónico cuando el daemon auditd encuentra una condición poco común al escribir registros de auditoría. Puede personalizar esta secuencia de comandos para su ubicación a fin de advertir acerca de las condiciones que puedan requerir intervención manual. O bien, puede especificar cómo manejar dichas condiciones automáticamente. Para todas las condiciones de error, la secuencia de comandos audit_warn escribe un mensaje a syslog con la gravedad de daemon.alerta. Puede utilizar syslog.conf para configurar la visualización de consola de los mensajes syslog. La secuencia de comandos audit_warn también envía un mensaje al alias de correo electrónico audit_warn. Configure este alias como parte de la configuración de auditoría.
Cuando el daemon auditd detecta las siguientes condiciones, el daemon invoca la secuencia de comandos audit_warn. La secuencia de comandos envía un correo electrónico al alias audit_warn.
Un directorio de auditoría está más lleno que lo que permite el valor minfree. El valor minfree o el límite de aviso es un porcentaje del espacio disponible en un sistema de archivos de auditoría.
La secuencia de comandos audit_warn se invoca con la cadena soft y el nombre del directorio cuyo espacio disponible está por debajo del valor mínimo. El daemon auditd cambia automáticamente al siguiente directorio adecuado. El daemon escribe los archivos de auditoría en este nuevo directorio hasta que el directorio alcanza su límite minfree. Entonces el daemon auditd va a cada directorio restante en el orden que se muestra en el archivo audit_control. El daemon escribe los registros de auditoría hasta que cada directorio llegue a su límite minfree.
Todos los directorios de auditoría han llegado al límite de minfree.
La secuencia de comandos audit_warn se invoca con la cadena allsoft. Se escribe un mensaje en la consola. También se envía el correo electrónico al alias audit_warn.
Cuando todos los directorios que aparecen en el archivo audit_control alcanzaron su límite de minfree, el daemon auditd vuelve al primer directorio. El daemon escribe registros de auditoría hasta que el directorio se llena por completo.
Un directorio de auditoría se ha llenado y no queda espacio disponible.
La secuencia de comandos audit_warn se invoca con la cadena hard y el nombre del directorio. Se escribe un mensaje en la consola. También se envía el correo electrónico al alias audit_warn.
El daemon auditd cambia automáticamente al siguiente directorio adecuado con espacio disponible. El daemon auditd va a cada directorio restante en el orden que se muestra en el archivo audit_control. El daemon escribe registros de auditoría hasta que cada directorio se llene por completo.
Todos los directorios de auditoría están llenos. La secuencia de comandos audit_warn se invoca con la cadena allhard como un argumento.
De manera predeterminada, se escribe un mensaje en la consola. También se envía el correo electrónico al alias audit_warn. Siguen ocurriendo los procesos que de lo contrario generarían registros de auditoría, pero se recuentan los registros de auditoría. No se generan registros de auditoría. Para obtener un ejemplo de cómo manejar esta situación, consulte el Ejemplo 30-16 y Cómo evitar el desbordamiento de la pista de auditoría.
Ocurre un error interno. Entre los posibles errores internos se incluyen los siguientes:
Se descubrió un problema con la sintaxis del archivo audit_control. De manera predeterminada, se envía un mensaje a la consola. También se envía el correo electrónico al alias audit_warn.
Si se establece la política de auditoría perzone, la instancia de la zona no global de auditd invoca la secuencia de comandos audit_warn de la zona. Para obtener más información, consulte la página del comando man audit_warn(1M).
La secuencia de comandos /etc/security/bsmconv habilita el servicio de auditoría. El comando bsmunconv deshabilita el servicio de auditoría. Después de que se ejecuta la secuencia de comandos bsmconv, debe configurar los directorios de auditoría y los archivos de configuración de auditoría. Al reiniciar, se habilita la auditoría.
Para obtener más información, consulte la página del comando man bsmconv(1M).