Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
![]() |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Auditoría de Oracle Solaris (mapa de tareas)
Configuración de archivos de auditoría (mapa de tareas)
Configuración de archivos de auditoría (tareas)
Cómo modificar el archivo audit_control
Cómo configurar registros de auditoría syslog
Cómo cambiar las características de auditoría de un usuario
Cómo agregar un clase de auditoría
Cómo cambiar una pertenencia a clase de un evento de auditoría
Configuración y habilitación del servicio de auditoría (mapa de tareas)
Configuración y habilitación del servicio de auditoría (tareas)
Cómo crear particiones para los archivos de auditoría
Cómo configurar el alias de correo electrónico audit_warn
Cómo configurar la política de auditoría
Cómo habilitar el servicio de auditoría
Configuración del servicio de auditoría en las zonas (tareas)
Cómo configurar todas las zonas de forma idéntica para la auditoría
Cómo configurar la auditoría por zona
Gestión de registros de auditoría (mapa de tareas)
Gestión de registros de auditoría
Cómo visualizar formatos de registros de auditoría
Cómo fusionar archivos de auditoría de la pista de auditoría
Cómo seleccionar eventos de auditoría de la pista de auditoría
Cómo visualizar el contenido de los archivos de auditoría binarios
Cómo depurar un archivo de auditoría not_terminated
Cómo evitar el desbordamiento de la pista de auditoría
Resolución de problemas de la auditoría de Oracle Solaris (tareas)
Resolución de problemas de la auditoría de Oracle Solaris (mapa de tareas)
Cómo determinar que la auditoría de Oracle Solaris se está ejecutando
Cómo reducir el volumen de los registros de auditoría que se producen
Cómo auditar todos los comandos por usuarios
Cómo buscar registros de auditoría de los cambios realizados en archivos específicos
Cómo modificar una máscara de preselección de usuario
Cómo evitar la auditoría de determinados eventos
Cómo limitar el tamaño de los archivos de auditoría binarios
Cómo auditar inicios de sesión de otros OSes
Cómo auditar transferencias de archivos FTP y SFTP
Después de que los archivos de configuración hayan sido configurados para la ubicación, debe configurar el espacio en disco para los archivos de auditoría. También tendrá que configurar otros atributos del servicio de auditoría y, a continuación, habilitar el servicio. Esta sección también contiene los procedimientos para actualizar el servicio de auditoría cuando cambia los valores de configuración.
Cuando se instala una zona no global, puede seleccionar auditar la zona exactamente como se audita la zona global. Como alternativa, para auditar la zona no global por separado, puede modificar los archivos de configuración de auditoría en la zona no global. Para personalizar los archivos de configuración de auditoría, consulte Configuración de archivos de auditoría (mapa de tareas).
El procedimiento siguiente muestra cómo crear particiones para los archivos de auditoría, así como los sistemas de archivos y directorios correspondientes. Omita los pasos según sea necesario, según tenga una partición vacía o ya haya montado un sistema de archivos vacío.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Asigne por lo menos 200 Mbytes de espacio en disco por host. Sin embargo, la cantidad de auditoría que necesita es la que dicta los requisitos de espacio en disco. Por lo tanto, los requisitos de espacio en disco pueden ser mucho mayores que esta figura. Recuerde incluir una partición local de un directorio de último recurso.
Este paso se realiza más fácilmente durante la instalación del servidor. También puede crear las particiones en discos que aún no se hayan montado en el servidor. Para obtener instrucciones completas sobre cómo crear las particiones, consulte el Capítulo 11, Administering Disks (Tasks) de System Administration Guide: Devices and File Systems.
# newfs /dev/rdsk/cwtxdysz
donde /dev/rdsk/cwt xdys z es el nombre del dispositivo sin formato para la partición.
Si el host local se va a auditar, cree también un directorio de auditoría de último recurso para el host local.
# mkdir /var/audit/server-name.n
donde nombre_servidor.n es el nombre del servidor más un número que identifica cada partición. El número es opcional, pero es útil cuando hay muchos directorios de auditoría.
Agregue una línea al archivo /etc/vfstab como la siguiente:
/dev/dsk/cwtxdysz /dev/rdsk/cwtxdysz /var/audit/server-name.n ufs 2 yes
Si utiliza la configuración predeterminada, se genera una advertencia cuando el directorio está un 80% completo. La advertencia elimina el motivo para reservar espacio libre en la partición.
# tunefs -m 0 /var/audit/server-name.n
# mount /var/audit/server-name.n
# mkdir /var/audit/server-name.n/files
# chmod -R 750 /var/audit/server-name.n/files
A menudo, se instalan conjuntos de discos para almacenar los registros de auditoría. Si un directorio de auditoría va a ser usado por varios sistemas, el directorio debe estar compartido a través del servicio NFS. Agregue una entrada similar a la siguiente para cada directorio en el archivo /etc/dfs/dfstab:
share -F nfs /var/audit/server-name.n/files
Si este comando es el primer comando share o conjuntos de comandos share que ha iniciado, es posible que los daemons NFS no se ejecuten.
% svcs \*nfs\* disabled Nov_02 svc:/network/nfs/rquota:default offline Nov_02 svc:/network/nfs/server:default # svcadm enable network/nfs/server
% svcs \*nfs\* online Nov_02 svc:/network/nfs/client:default online Nov_02 svc:/network/nfs/server:default # svcadm restart network/nfs/server
Para obtener más información sobre el servicio NFS, consulte Configuración de servicios NFS de Guía de administración del sistema: servicios de red. Para obtener información sobre la gestión de servicios persistentes, consulte el Capítulo 18, Gestión de servicios (descripción general) de Guía de administración del sistema: administración básica y la página del comando man smf(5).
Ejemplo 30-13 Creación de un directorio de auditoría de último recurso
Todos los sistemas que ejecutan el servicio de auditoría deben tener un sistema de archivos local que se pueda utilizar si no hay ningún otro sistema de archivos disponible. En este ejemplo, se agrega un sistema de archivos a un sistema denominado egret. Como este sistema de archivos sólo se utiliza localmente, no es necesario realizar ninguno de los pasos para un servidor de archivos.
# newfs /dev/rdsk/c0t2d0 # mkdir /var/audit/egret # grep egret /etc/vfstab /dev/dsk/c0t2d0s1 /dev/rdsk/c0t2d0s1 /var/audit/egret ufs 2 yes - # tunefs -m 0 /var/audit/egret # mount /var/audit/egret # mkdir /var/audit/egret/files # chmod -R 750 /var/audit/egret/files
Ejemplo 30-14 Creación de nuevas particiones auditoría
En este ejemplo, se crea un sistema de archivos nuevo en dos discos nuevos que van a ser utilizados por otros sistemas en la red.
# newfs /dev/rdsk/c0t2d0 # newfs /dev/rdsk/c0t2d1 # mkdir /var/audit/egret.1 # mkdir /var/audit/egret.2 # grep egret /etc/vfstab /dev/dsk/c0t2d0s1 /dev/rdsk/c0t2d0s1 /var/audit/egret.1 ufs 2 yes - /dev/dsk/c0t2d1s1 /dev/rdsk/c0t2d1s1 /var/audit/egret.2 ufs 2 yes - # tunefs -m 0 /var/audit/egret.1 # tunefs -m 0 /var/audit/egret.2 # mount /var/audit/egret.1 # mount /var/audit/egret.2 # mkdir /var/audit/egret.1/files # mkdir /var/audit/egret.2/files # chmod -R 750 /var/audit/egret.1/files /var/audit/egret.2/files # grep egret /etc/dfs/dfstab share -F nfs /var/audit/egret.1/files share -F nfs /var/audit/egret.2/files # svcadm enable network/nfs/server
Ejemplo 30-15 Creación de particiones de auditoría ZFS
En este ejemplo, el administrador ejecuta el comando script después de que se crean las particiones de auditoría ZFS. A continuación se muestra la salida del comando:
# zpool create auditf mirror c0t4d0 c0t5d0 # zfs create -o mountpoint=/audit auditf/audit # zfs create auditf/audit/noddy # zfs create auditf/audit/noddy/files # zfs create auditf/audit/blinken # zfs create auditf/audit/blinken/files # zfs set devices=off auditf/audit # zfs set exec=off auditf/audit # zfs set setuid=off auditf/audit # zfs set sharenfs=on auditf/audit # share - /audit/blinken/files rw "" - /audit/noddy rw "" - /audit/blinken rw "" - /audit/noddy/files rw "" - /audit rw "" # ^D script done on Fri Apr 10 10:10:20 2009
Luego, el administrador visualiza los montajes desde el sistema remoto, remotesys.
# dfshares remotesys RESOURCE SERVER ACCESS TRANSPORT remotesys:/audit/blinken/files remotesys - - remotesys:/audit/noddy remotesys - - remotesys:/audit/blinken remotesys - - remotesys:/audit/noddy/files remotesys - - remotesys:/audit remotesys - -
Por último, el administrador monta el sistema de archivos /audit en /var/audit.
# mount remotesys:/audit /var/audit # ls /var/audit blinken noddy
La secuencia de comandos audit_warn genera un correo electrónico para un alias de correo electrónico denominado audit_warn. Para enviar este correo electrónico a una dirección de correo electrónico válida, puede seguir una de las opciones que se describen en el Paso 2:
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Elija una de las siguientes opciones:
OPCIÓN 1 – Reemplace el alias de correo electrónico audit_warn con otra cuenta de correo electrónico en la secuencia de comandos audit_warn.
Cambie el alias de correo electrónico en la siguiente línea de la secuencia de comandos:
ADDRESS=audit_warn # standard alias for audit alerts
OPCIÓN 2 – Redirija el correo electrónico audit_warn a otra cuenta de correo.
En este caso, debe agregar el alias de correo electrónico audit_warn al archivo de alias adecuado. Puede agregar el alias al archivo local /etc/mail/aliases o a la base de datos mail_aliases en el nombre de espacio. La nueva entrada es similar a la siguiente si la cuenta de correo root se ha agregado como miembro del alias de correo electrónico audit_warn:
audit_warn: root
La política de auditoría determina las características de los registros de auditoría para el host local. Cuando se habilita la auditoría, el contenido del archivo /etc/security/audit_startup determina la política de auditoría.
Puede inspeccionar y cambiar las opciones de la política de auditoría actual con el comando auditconfig. También puede modificar las opciones de política del comando auditconfig en la secuencia de comandos audit_startup para hacer permanentes los cambios de política de auditoría.
Para crear un rol que incluya el perfil de control de auditoría y para asignar el rol a un usuario, consulte Configuración de RBAC (mapa de tareas).
Antes de que se habilite la auditoría, el contenido del archivo audit_startup determina la política de auditoría:
#! /bin/sh ... /usr/bin/echo "Starting BSM services." /usr/sbin/auditconfig -setpolicy +cnt Counts rather than drops records /usr/sbin/auditconfig -conf Configures event-class mappings /usr/sbin/auditconfig -aconf Configures nonattributable events
$ auditconfig -lspolicy
Nota - Las opciones de política perzone y ahlt solamente se pueden configurar en la zona global.
# auditconfig -setpolicy prefixpolicy
Un valor + de prefijo habilita la opción de política. Un valor - de prefijo deshabilita la opción de política.
Selecciona la política que se habilitará o deshabilitará.
La política está vigente hasta el siguiente inicio o hasta que la política sea modificada por el comando auditconfig -setpolicy.
Para obtener una descripción de cada opción de política, consulte Determinación de política de auditoría.
Ejemplo 30-16 Configuración de las opciones de política de auditoría cnt y ahlt
En este ejemplo, la política cnt está deshabilitada y la política ahlt está habilitada. Con estos valores, el uso del sistema se detiene cuando las particiones de auditoría están llenas y se produce un evento asíncrono. Cuando se produce un evento síncrono, se bloquea el proceso que creó el thread. Estos valores son adecuados cuando la seguridad es más importante que la disponibilidad.
Las siguientes entradas audit_startup deshabilitan la opción de política cnt y habilitan la opción de política ahlt en los inicios:
# cat /etc/security/audit_startup #!/bin/sh /usr/bin/echo "Starting BSM services." /usr/sbin/deallocate -Is /usr/sbin/auditconfig -conf /usr/sbin/auditconfig -aconf /usr/sbin/auditconfig -setpolicy -cnt /usr/sbin/auditconfig -setpolicy +ahlt
Ejemplo 30-17 Configuración de la política de auditoría seq temporalmente
En este ejemplo, el daemon auditd se está ejecutando y la política de auditoría ahlt se ha definido. La política de auditoría seq se agrega a la política actual. La política seq agrega un token sequence a todos los registros de auditoría. Esto es útil para depurar el servicio de auditoría cuando los registros de auditoría están dañados o cuando los registros se descartan.
El prefijo + agrega la opción seq a la política de auditoría, en lugar de reemplazar la política de auditoría actual con seq. El comando auditconfig hace que la política esté vigente hasta la próxima invocación del comando, o hasta el próximo inicio.
$ auditconfig -setpolicy +seq $ auditconfig -getpolicy audit policies = ahlt,seq
Ejemplo 30-18 Configuración de la política de auditoría perzone
En este ejemplo, la política de auditoría perzone se configura en la secuencia de comandos audit_startup en la zona global. Cuando se inicia una zona, la zona no global recopila los registros de auditoría según los valores de configuración de auditoría en su zona.
$ cat /etc/security/audit_startup #!/bin/sh /usr/bin/echo "Starting BSM services." /usr/sbin/deallocate -Is /usr/sbin/auditconfig -conf /usr/sbin/auditconfig -aconf /usr/sbin/auditconfig -setpolicy +perzone /usr/sbin/auditconfig -setpolicy +cnt
Ejemplo 30-19 Cambio de política de auditoría
En este ejemplo, el daemon de auditoría se está ejecutando y la política de auditoría se ha definido. El comando auditconfig cambia las políticas ahlt y cnt para la duración de la sesión. Con estos valores, los registros de auditoría se descartan, pero se cuentan cuando el sistema de archivos de auditoría está lleno. Para ver las restricciones sobre la configuración de la política ahlt, consulte Paso 3.
$ auditconfig -setpolicy +cnt $ auditconfig -setpolicy -ahlt $ auditconfig -getpolicy audit policies = cnt,seq
Cuando los cambios son ubicados en el archivo audit_startup, las políticas quedan vigentes permanentemente:
$ cat /etc/security/audit_startup #!/bin/sh /usr/bin/echo "Starting BSM services." /usr/sbin/deallocate -Is /usr/sbin/auditconfig -conf /usr/sbin/auditconfig -aconf /usr/sbin/auditconfig -setpolicy +cnt
La opción -ahlt no tiene que especificarse en este archivo, ya que la opción de política ahlt está deshabilitada de manera predeterminada. Este valor es adecuado cuando la disponibilidad es más importante que la seguridad que proporcionan los registros de auditoría.
Este procedimiento habilita el servicio de auditoría para todas las zonas. Para iniciar el daemon de auditoría en una zona no global, consulte Ejemplo 30-20.
Cuando la auditoría está configurada de manera segura, el sistema está en modo de usuario único hasta que se habilite la auditoría. También puede habilitar la auditoría en modo multiusuario.
Antes de empezar
Debe realizar este procedimiento como superusuario después de completar las siguientes tareas:
Planificación – Planificación de auditoría de Oracle Solaris (mapa de tareas)
Personalización de archivos de auditoría – Configuración de archivos de auditoría (mapa de tareas)
Configuración de particiones de auditoría – Cómo crear particiones para los archivos de auditoría
Configuración de mensajes de advertencia de auditoría – Cómo configurar el alias de correo electrónico audit_warn
Configuración de política de auditoría – Cómo configurar la política de auditoría
Nota - La conversión del nombre de host debe funcionar correctamente para que la auditoría funcione. La base de datos hosts en los servicios de nombres debe estar configurada correctamente y debe estar funcionando.
Para obtener información sobre la base de datos de hosts, consulte las páginas del comando man nsswitch.conf(4) y netconfig(4). Para obtener información adicional, consulte la Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP) o la System Administration Guide: Naming and Directory Services (NIS+).
Vaya al directorio /etc/security y ejecute allí la secuencia de comandos bsmconv .
# cd /etc/security # ./bsmconv This script is used to enable the Basic Security Module (BSM). Shall we continue with the conversion now? [y/n] y bsmconv: INFO: checking startup file. bsmconv: INFO: turning on audit module. bsmconv: INFO: initializing device allocation. The Basic Security Module is ready. If there were any errors, please fix them now. Configure BSM by editing files located in /etc/security. Reboot this system now to come up with BSM enabled.
Para ver los efectos de la secuencia de comandos, consulte la página del comando man bsmconv(1M).
# reboot
El archivo de inicio /etc/security/audit_startup hace que el daemon auditd se ejecute automáticamente cuando el sistema inicia el modo multiusuario.
Otro efecto de la secuencia de comandos es que activa la asignación de dispositivos. Para configurar la asignación de dispositivos, consulte Gestión de asignación de dispositivos (mapa de tareas).
Ejemplo 30-20 Habilitación de la auditoría en una zona no global
En el siguiente ejemplo, el administrador de la zona global activó la política perzone después de que la auditoría se activó en la zona global y después de que la zona no global se inició. El administrador de zona de la zona no global configura los archivos de auditoría de la zona y, a continuación, inicia el daemon de auditoría en la zona.
zone1# svcadm enable svc:/system/auditd
Si el servicio de auditoría ya no es necesario en algún momento, este procedimiento devuelve el sistema al estado anterior a la habilitación de la auditoría. Si las zonas no globales se auditan, su servicio de auditoría también se deshabilita.
![]() | Precaución - Este comando también deshabilita la asignación de dispositivos. No ejecute este comando si desea poder asignar dispositivos. Para deshabilitar la auditoría y retener la asignación de dispositivos, consulte el Ejemplo 30-21. |
% su Password: <Type root password> # init S
Para obtener más información, consulte la página del comando man init(1M).
Cambie al directorio /etc/security y ejecute la secuencia de comandos bsmunconv.
# cd /etc/security # ./bsmunconv
Otro efecto de la secuencia de comandos es que deshabilita la asignación de dispositivos.
Para obtener información sobre todo el efecto de la secuencia de comandos bsmunconv, consulte la página del comando man bsmconv(1M).
# init 6
Ejemplo 30-21 Deshabilitación de la auditoría y conservación de la asignación de dispositivos
En este ejemplo, el servicio de auditoría deja de recopilar registros, pero la asignación de dispositivos continúa funcionando. Se eliminan todos los valores de las entradas flags, naflags y plugin en el archivo audit_control , al igual que todas las entradas de usuarios en el archivo audit_user.
## audit_control file flags: naflags: ## audit_user file
El daemon auditd se ejecuta, pero no se conservan registros de auditoría.
Ejemplo 30-22 Deshabilitación de la auditoría por zona
En este ejemplo, el servicio de auditoría deja de funcionar en zone1, donde el servicio de auditoría está deshabilitado. La asignación de dispositivos continúa funcionando. Cuando este comando se ejecuta en la zona global, y la política de auditoría perzone no está definida, la auditoría se deshabilita para todas las zonas, no sólo para la zona global.
zone1 # audit -t
Este procedimiento reinicia el daemon auditd cuando realiza cambios para auditar archivos de configuración de auditoría después de ejecutar el daemon.
Para crear un rol que incluya el perfil de derechos de control de auditoría y para asignar el rol a un usuario, consulte Configuración de RBAC (mapa de tareas).
$ /usr/sbin/auditconfig -aconf
También puede reiniciar.
El daemon de auditoría almacena información del archivo audit_control internamente. Para utilizar la información nueva, reinicie el sistema o indique al daemon de auditoría que lea el archivo modificado.
$ /usr/sbin/audit -s
Nota - Los registros de auditoría se generan sobre la base de la máscara de preselección de auditoría asociada con cada proceso. La ejecución del comando audit -s no cambia las máscaras en procesos existentes. Para cambiar la máscara de preselección de un proceso existente, debe reiniciar el proceso. También puede reiniciar.
El comando audit -s hace que el daemon de auditoría vuelva a leer el directorio y los valores minfree del archivo audit_control. El comando cambia la generación de la máscara de preselección para los procesos reproducidos por inicios de sesión posteriores.
Lea las asignaciones de evento-clase modificadas en el sistema y asegúrese de que cada usuario que utiliza el equipo esté correctamente auditado.
$ auditconfig -conf $ auditconfig -setumask auid classes
Es el ID de usuario.
Son las clases de auditoría preseleccionadas.
Por ejemplo, consulte Cómo modificar una máscara de preselección de usuario.
Ejemplo 30-23 Reinicio del daemon de auditoría
En este ejemplo, el sistema se configura en modo de usuario único y luego se configura en modo de usuario múltiple. Cuando el sistema se lleva a modo multiusuario, los archivos de configuración de auditoría modificados se leen en el sistema.
# init S # init 6