Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Auditoría de Oracle Solaris (mapa de tareas)
Configuración de archivos de auditoría (mapa de tareas)
Configuración de archivos de auditoría (tareas)
Cómo modificar el archivo audit_control
Cómo configurar registros de auditoría syslog
Cómo cambiar las características de auditoría de un usuario
Cómo agregar un clase de auditoría
Cómo cambiar una pertenencia a clase de un evento de auditoría
Configuración y habilitación del servicio de auditoría (mapa de tareas)
Configuración y habilitación del servicio de auditoría (tareas)
Cómo crear particiones para los archivos de auditoría
Cómo configurar el alias de correo electrónico audit_warn
Cómo configurar la política de auditoría
Cómo habilitar el servicio de auditoría
Cómo deshabilitar el servicio de auditoría
Cómo actualizar el servicio de auditoría
Configuración del servicio de auditoría en las zonas (tareas)
Cómo configurar todas las zonas de forma idéntica para la auditoría
Cómo configurar la auditoría por zona
Gestión de registros de auditoría (mapa de tareas)
Gestión de registros de auditoría
Cómo visualizar formatos de registros de auditoría
Cómo fusionar archivos de auditoría de la pista de auditoría
Cómo seleccionar eventos de auditoría de la pista de auditoría
Cómo visualizar el contenido de los archivos de auditoría binarios
Resolución de problemas de la auditoría de Oracle Solaris (tareas)
Resolución de problemas de la auditoría de Oracle Solaris (mapa de tareas)
Cómo determinar que la auditoría de Oracle Solaris se está ejecutando
Cómo reducir el volumen de los registros de auditoría que se producen
Cómo auditar todos los comandos por usuarios
Cómo buscar registros de auditoría de los cambios realizados en archivos específicos
Cómo modificar una máscara de preselección de usuario
Cómo evitar la auditoría de determinados eventos
Cómo limitar el tamaño de los archivos de auditoría binarios
Cómo auditar inicios de sesión de otros OSes
Cómo auditar transferencias de archivos FTP y SFTP
Mediante la gestión de la pista de auditoría, puede supervisar las acciones de usuarios de la red. La auditoría puede generar grandes cantidades de datos. Las siguientes tareas muestran cómo trabajar con todos estos datos.
Para escribir secuencias de comandos que puedan encontrar los datos de auditoría que desea, necesita saber el orden de los tokens en un evento de auditoría. El comando bsmrecord muestra el número de evento de auditoría, la clase de auditoría, la máscara de selección y el formato de registro de un evento de auditoría.
La opción -a muestra una lista de todos los formatos de registros de eventos de auditoría. La opción -h coloca la lista en formato HTML, que puede visualizarse en un explorador.
% bsmrecord -a -h > audit.events.html
Cuando visualice el archivo *html en un explorador, use la herramienta de búsqueda del explorador para encontrar registros específicos.
Para obtener más información, consulte la página del comando man bsmrecord(1M).
Ejemplo 30-26 Visualización de los formatos de registros de auditoría de un programa
En este ejemplo, se muestra el formato de todos los registros de auditoría que se generan mediante el programa login. Los programas de inicio de sesión incluyen rlogin, telnet, newgrp, el inicio de sesión de rol en Solaris Management Console y Oracle Solaris Secure Shell.
% bsmrecord -p login login: logout program various See login(1) event ID 6153 AUE_logout … newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login … rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin … SMC: role login program SMC server See role login event ID 6173 AUE_role_login … /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh … telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet …
Ejemplo 30-27 Visualización de formatos de registros de auditoría de una clase de auditoría
En este ejemplo, se muestra el formato de todos los registros de auditoría en la clase fd.
% bsmrecord -c fd rmdir system call rmdir See rmdir(2) event ID 48 AUE_RMDIR class fd (0x00000020) header path [attribute] subject [use_of_privilege] return unlink system call unlink See unlink(2) event ID 6 AUE_UNLINK … unlinkat system call unlinkat See openat(2) event ID 286 AUE_UNLINKAT …
Al fusionar todos los archivos de auditoría en todos los directorios de auditoría, puede analizar los contenidos de toda la pista de auditoría. El comando auditreduce fusiona todos los registros de los archivos de entrada en un solo archivo de salida. Entonces, los archivos de entrada se pueden suprimir. Cuando el archivo de salida está ubicado en un directorio denominado /etc/security/audit/nombre_servidor /files, el comando auditreduce puede encontrar el archivo de salida sin especificar la ruta completa.
Nota - Este procedimiento se aplica únicamente a los registros binarios de auditoría.
El rol de administrador del sistema incluye el perfil de revisión de auditoría. También puede crear un rol distinto que incluya el perfil de revisión de auditoría. Para crear un rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).
# mkdir audit-trail-directory
# chmod 700 audit-trail-directory # ls -la audit-trail-directory drwx------ 3 root sys 512 May 12 11:47 . drwxr-xr-x 4 root sys 1024 May 12 12:47 ..
Cambie los directorios al directorio_pista_auditoría y fusione los registros de auditoría en un archivo con un sufijo con nombre. Todos los directorios que se muestran en las líneas dir del archivo audit_control en el sistema local están fusionados.
# cd audit-trail-directory # auditreduce -Uppercase-option -O suffix
Las opciones en mayúscula del comando auditreduce manipulan los archivos en la pista de auditoría. Las opciones en mayúscula incluyen las siguientes:
Selecciona todos los archivos en la pista de auditoría.
Selecciona únicamente archivos completos. Esta opción ignora los archivos con el sufijo not_terminated.
Selecciona los archivos con un sufijo determinado. El sufijo puede ser un nombre de equipo o puede ser un sufijo que haya especificado para un archivo de resumen.
Crea un archivo de auditoría con indicadores de hora de 14 caracteres para la hora de inicio y la hora de finalización, con el sufijo sufijo en el directorio actual.
Ejemplo 30-28 Copia de archivos de auditoría a un archivo de resumen
En el siguiente ejemplo, el rol de administrador del sistema, sysadmin, copia todos los archivos de la pista de auditoría en un archivo fusionado.
$ whoami sysadmin $ mkdir /var/audit/audit_summary.dir $ chmod 700 /var/audit/audit_summary.dir $ cd /var/audit/audit_summary.dir $ auditreduce -A -O All $ ls *All 20100827183214.20100827215318.All
En el siguiente ejemplo, únicamente se copian archivos completos de la pista de auditoría a un archivo fusionado.
$ cd /var/audit/audit_summary.dir $ auditreduce -C -O Complete $ ls *Complete 20100827183214.20100827214217.Complete
En el siguiente ejemplo, únicamente se copian archivos completos del equipo example1 a un archivo fusionado.
$ cd /var/audit/audit_summary.dir $ auditreduce -M example1 -O example1summ $ ls *summ 20100827183214.20100827214217.example1summ
Ejemplo 30-29 Cómo mover archivos de auditoría a un archivo de resumen
La opción -D del comando auditreduce elimina un archivo de auditoría cuando lo copia en otra ubicación. En el siguiente ejemplo, los archivos de auditoría completos de un sistema se copian en el directorio de resumen para examinarlos posteriormente.
$ cd /var/audit/audit_summary.dir $ auditreduce -C -O daily_example1 -D example1 $ ls *example1 20100827183214.20100827214217.daily_example1
Los archivos de auditoría del sistema example1 que se introdujeron en el archivo *daily_example1 se eliminan cuando este comando se completa correctamente.
Puede filtrar registros de auditoría para examinarlos. Para obtener una lista completa de las opciones de filtrado, consulte la página del comando man auditreduce(1M).
El rol de administrador del sistema incluye el perfil de revisión de auditoría. También puede crear un rol distinto que incluya el perfil de revisión de auditoría. Para crear un rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).
auditreduce -lowercase-option argument [optional-file]
Argumento específico que requiere una opción en minúscula. Por ejemplo, la opción -c requiere un argumento de una clase de auditoría, como ua.
Selecciona todos los eventos en una fecha determinada. El formato de fecha de argumento es aaammdd. Otras opciones de fecha, -b y -a, seleccionan los eventos antes y después de una fecha determinada.
Selecciona todos los eventos atribuibles a un usuario determinado. El argumento es un nombre de usuario. Otra opción de usuario, -e, selecciona todos los eventos atribuibles a un ID de usuario vigente.
Selecciona todos los eventos de una clase de auditoría preseleccionada. El argumento es un nombre de clase de auditoría
Selecciona todas las instancias de un evento de auditoría determinado. El argumento es un evento de auditoría.
Es el nombre de un archivo de auditoría.
Ejemplo 30-30 Combinación y reducción de archivos de auditoría
El comando auditreduce puede eliminar los registros menos interesantes a medida que combina los archivos de entrada. Por ejemplo, puede utilizar el comando auditreduce para retener únicamente los registros de inicio y cierre de sesión en los archivos de auditoría de más de un mes. Si necesita recuperar la pista de auditoría completa, puede recuperar la pista del medio de copia de seguridad.
# cd /var/audit/audit_summary.dir # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary
Ejemplo 30-31 Copia de registros de auditoría na en un archivo de resumen
En este ejemplo, se recopilan en un solo archivo todos los registros de eventos de auditoría no atribuibles en la pista de auditoría.
$ whoami sysadmin $ cd /var/audit/audit_summary.dir $ auditreduce -c na -O nasumm $ ls *nasumm 20100827183214.20100827215318.nasumm
El archivo de auditoría fusionado nasumm tiene un indicador de hora con la fecha de inicio y de finalización de los registros na.
Ejemplo 30-32 Búsqueda de eventos de auditoría en un archivo de auditoría especificado
Puede seleccionar manualmente archivos de auditoría para buscar únicamente el conjunto de los archivos denominado. Por ejemplo, puede seguir procesando el archivo *nasumm en el ejemplo anterior para buscar eventos de inicio de sistema. Para ello, tendría que especificar el nombre de archivo como argumento final en el comando auditreduce.
$ auditreduce -m 113 -O systemboot 20100827183214.20100827215318.nasumm 20100827183214.20100827183214.systemboot
El archivo 20100827183214.20100827183214.systemboot contiene únicamente eventos de auditoría de inicio de sistema.
Ejemplo 30-33 Copia de los registros de auditoría de un usuario en un archivo de resumen
En este ejemplo, se fusionan los registros en la pista de auditoría que contienen el nombre de un usuario determinado. La opción -e busca el usuario vigente. La opción -u busca el usuario de auditoría.
$ cd /var/audit/audit_summary.dir $ auditreduce -e tamiko -O tamiko
Puede buscar eventos específicos en este archivo. En el siguiente ejemplo, se verifica la hora en que el usuario inició y cerró sesión el 7 de septiembre de 2010, hora local. Sólo se verifican los archivos con el nombre del usuario como sufijo de archivo. La abreviatura de la fecha es aaaammdd.
# auditreduce -M tamiko -O tamikolo -d 20100907 -u tamiko -c lo
Ejemplo 30-34 Copia de registros seleccionados en un archivo único
En este ejemplo, se seleccionan de la pista de auditoría los mensajes de inicio y cierre de sesión de un día determinado. Los mensajes se fusionan en un archivo de destino. El archivo de destino se escribe en un directorio distinto que el directorio root de auditoría normal.
# auditreduce -c lo -d 20100827 -O /var/audit/audit_summary.dir/logins # ls /var/audit/audit_summary.dir/*logins /var/audit/audit_summary.dir/20100827183936.20100827232326.logins
El comando praudit lo habilita a ver los contenidos de los archivos de auditoría binarios. Puede redireccionar la salida del comando auditreduce o puede leer un archivo de auditoría determinado. La opción -x es útil para el procesamiento posterior.
El rol de administrador del sistema incluye el perfil de revisión de auditoría. También puede crear un rol distinto que incluya el perfil de revisión de auditoría. Para crear un rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).
Los siguientes ejemplos muestran la salida de praudit para el mismo evento de auditoría. Las políticas de auditoría se configuraron para incluir los tokens sequence y trailer.
El comando praudit -s muestra los registros de auditoría en formato corto, un token por línea. Utilice la opción -l para colocar cada registro en una línea.
$ auditreduce -c lo | praudit -s header,101,2,AUE_rlogin,,example1,2010-10-13 11:23:31.050 -07:00 subject,jdoe,jdoe,staff,jdoe,staff,749,749,195 1234 server1 text,successful login return,success,0 sequence,1298
El comando praudit -r muestra los registros de auditoría en su formato básico, un token por línea. Utilice la opción -l para colocar cada registro en una línea.
$ auditreduce -c lo | praudit -r 21,101,2,6155,0x0000,192.168.60.83,1062021202,64408258 36,2026700,2026700,10,2026700,10,749,749,195 1234 192.168.60.17 40,successful login 39,0,0 47,1298
El comando praudit -x muestra los registros de auditoría en formato XML, un token por línea. Utilice la opción -l para colocar la salida XML para un registro en una línea.
$ auditreduce -c lo | praudit -x <record version="2" event="login - rlogin" host="example1" time="Wed Aug 27 14:53:22 PDT 2010" msec="64"> <subject audit-uid="jdoe" uid="jdoe" gid="staff" ruid="jdoe" rgid="staff" pid="749" sid="749" tid="195 1234 server1"/> <text>successful login</text> <return errval="success" retval="0"/> <sequence seq-num="1298"/> </record>
Ejemplo 30-35 Impresión de toda la pista de auditoría
Con un conducto al comando lp, la salida de toda la pista de auditoría pasa a la impresora. La impresora debe tener acceso limitado.
# auditreduce | praudit | lp -d example.protected.printer
Ejemplo 30-36 Visualización de un archivo de auditoría específico
En este ejemplo, se examina un inicio de sesión resumido en la ventana de terminal.
# cd /var/audit/audit_summary.dir/logins # praudit 20100827183936.20100827232326.logins | more
Ejemplo 30-37 Cómo poner los registros de auditoría en formato XML
En este ejemplo, los registros de auditoría se convierten en formato XML.
# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml
El archivo *xml se puede visualizar en un explorador. El contenido del archivo sólo puede ser operado por una secuencia de comandos para extraer la información relevante.
Errores más frecuentes
Un mensaje similar al siguiente indica que no tiene privilegios suficientes para usar el comando praudit:
praudit: Can't assign 20090408164827.20090408171614.example1 to stdin.
Ocasionalmente, existe un daemon de auditoría mientras su archivo de auditoría está abierto. O bien, un servidor pasa a estar inaccesible y fuerza al equipo a que pase a un nuevo servidor. En esos casos, un archivo de auditoría permanece con la cadena not_terminated como indicación de hora final, aunque el archivo ya no se utilice para los registros de auditoría. Utilice el comando auditreduce -O para otorgar al archivo la indicación de hora correcta.
# ls -R1t audit-directory*/files/* | grep not_terminated
Muestra los archivos en los subdirectorios.
Muestra la lista de archivos desde el más reciente hasta el más antiguo.
Muestra los archivos en una columna.
Especifique el nombre del archivo anterior en el comando auditreduce -O.
# auditreduce -O system-name old-not-terminated-file
# rm system-name old-not-terminated-file
Ejemplo 30-38 Depuración de archivos de auditoría not_terminated cerrados
En el siguiente ejemplo, se encontraron archivos not_terminated, se renombraron, y se eliminaron los originales.
ls -R1t */files/* | grep not_terminated …/egret.1/20100908162220.not_terminated.egret …/egret.1/20100827215359.not_terminated.egret # cd */files/egret.1 # auditreduce -O egret 20100908162220.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Input (old) audit file 20100827215359.not_terminated.egret # rm 20100827215359.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned up audit file
La indicación de hora de inicio en el nuevo archivo refleja la hora del primer evento de auditoría en el archivo not_terminated. La indicación de hora final refleja la hora del último evento de auditoría en el archivo.
Si la política de seguridad requiere que todos los datos de auditoría se guarden, realice las siguientes acciones:
Almacene los archivos de auditoría mediante una copia de los archivos en los medios sin conexión. También puede mover los archivos a un sistema de archivos de almacenamiento.
Si está recopilando registros de auditoría textual con la utilidad syslog, archive los registros textuales. Para más información, consulte la página del comando man logadm(1M).
Archive la información que sea necesaria para interpretar los registros de auditoría junto con la pista de auditoría.
Puede extraer archivos de resumen de la pista de auditoría mediante las opciones en el comando auditreduce. Los archivos de resumen contienen únicamente los registros en tipos especificad+os de eventos de auditoría. Para extraer archivos de resumen, consulte Ejemplo 30-30 y Ejemplo 30-34.