Configuración de registros de auditoría (tareas)

Dos complementos de auditoría, audit_binfile y audit_syslog, envían registros de auditoría a sitios que puede configurar. Las siguientes tareas ayudan a configurar estos registros.

Configuración de registros de auditoría (mapa de tareas)

En el siguiente mapa de tareas, se hace referencia a los procedimientos para configurar registros de auditoría para los distintos complementos. Todas las tareas son opcionales.

Tarea	Descripción	Para obtener instrucciones
Agregar almacenamiento local para el complemento `audit_binfile`.	Crea espacio en disco local para los archivos de auditoría y los protege con los permisos de archivo.	Cómo crear sistemas de archivos ZFS para archivos de auditoría
Asignar almacenamiento para el complemento `audit_binfile`.	Identifica directorios para registros de auditoría binarios.	Cómo asignar espacio de auditoría para la pista de auditoría
Configurar el almacenamiento para el complemento `audit_remote`.	Permite enviar registros de auditoría a un depósito remoto por medio de un mecanismo protegido.	Cómo enviar archivos de auditoría a un depósito remoto
Configurar el almacenamiento para el complemento `audit_syslog`.	Permite transmitir eventos de auditoría en formato de texto a `syslog`.	Cómo configurar registros de auditoría `syslog`

Cómo crear sistemas de archivos ZFS para archivos de auditoría

El procedimiento siguiente muestra cómo crear una agrupación ZFS para los archivos de auditoría, así como los sistemas de archivos y los puntos de montaje correspondientes. De manera predeterminada, el sistema de archivos /var/audit contiene archivos de auditoría para el complemento audit_binfile.

Antes de empezar

Debe tener asignados los perfiles de derechos de gestión de sistemas de archivos ZFS y de gestión de almacenamiento ZFS. El último perfil permite crear agrupaciones de almacenamiento.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Determine la cantidad de espacio en disco que sea necesaria.
Asigne, por lo menos, 200 MB de espacio en disco por host. Sin embargo, la cantidad de auditoría que necesita es la que dicta los requisitos de espacio en disco. Por lo tanto, los requisitos de espacio en disco pueden ser mucho mayores que los que indica esta figura.

Nota - La preselección de clases predeterminada crea archivos en /var/audit que aumentan en 80 bytes aproximadamente por cada instancia registrada de un evento en la clase lo, como un inicio de sesión, un cierre de sesión o una asunción de rol.
Cree una agrupación de almacenamiento ZFS duplicada.
El comando zpool create crea una agrupación de almacenamiento que es un contenedor de los sistemas de archivos ZFS. Para obtener más información, consulte el Capítulo 1, Sistema de archivos ZFS de Oracle Solaris (introducción) de Administración de Oracle Solaris: sistemas de archivos ZFS.
```
# zpool create audit-pool mirror disk1 disk2
```
Por ejemplo, cree la agrupación auditp de dos discos, c3t1d0 y c3t2d0, y duplíquelos.
```
# zpool create auditp mirror c3t1d0 c3t2d0
```
Cree un sistema de archivos ZFS y un punto de montaje para los archivos de auditoría.
Cree el sistema de archivos y el punto de montaje con un comando. En el momento de la creación, se monta el sistema de archivos. Por ejemplo, la siguiente ilustración muestra el almacenamiento de pista de auditoría almacenado por nombre de host.

Nota - Si tiene previsto cifrar el sistema de archivos, debe cifrar el sistema de archivos en el momento de la creación. Si desea ver un ejemplo, consulte el Ejemplo 28-12.
El cifrado requiere gestión. Por ejemplo, una frase de contraseña se requiere en el momento del montaje. Para obtener más información, consulte Cifrado de sistemas de archivos ZFS de Administración de Oracle Solaris: sistemas de archivos ZFS.
```
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
```
Por ejemplo, cree el punto de montaje /audit para el sistema de archivos auditf.
```
# zfs create -o mountpoint=/audit auditp/auditf
```
Cree un sistema de archivos ZFS para los archivos de auditoría.
```
# zfs create -p auditp/auditf/system
```
Por ejemplo, cree un sistema de archivos ZFS sin cifrar para el sistema sys1.
```
# zfs create -p auditp/auditf/sys1
```
(Opcional) Cree sistemas de archivos adicionales para archivos de auditoría.
Un motivo para crear sistemas de archivos adicionales es evitar el desbordamiento de la auditoría. Puede establecer una cuota ZFS por sistema de archivos, como se muestra en el Paso 9. El alias de correo electrónico audit_warn le notifica cuando se alcanza cada cuota. Para liberar espacio, puede mover los archivos de auditoría cerrados a un servidor remoto.
```
# zfs create -p auditp/auditf/sys1.1
# zfs create -p auditp/auditf/sys1.2
```
Proteja el sistema de archivos de auditoría principal.
Las siguientes propiedades ZFS se establecen en off para todos los sistemas de archivos en la agrupación:
```
# zfs set devices=off auditp/auditf
# zfs set exec=off auditp/auditf
# zfs set setuid=off auditp/auditf
```
Comprima los archivos de auditoría en la agrupación.
Normalmente, la compresión está definida en ZFS, en el nivel del sistema de archivos. Sin embargo, debido a que todos los sistemas de archivos de esta agrupación contienen archivos de auditoría, la compresión se establece en el conjunto de datos de nivel superior para la agrupación.
```
# zfs set compression=on auditp
```
Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Administración de Oracle Solaris: sistemas de archivos ZFS.
Defina las cuotas.
Puede definir cuotas en el sistema de archivos principal, los sistemas de archivos descendientes o en ambos. Si define una cuota en el sistema de archivos de auditoría principal, las cuotas en los sistemas de archivos descendientes imponen un límite adicional.
1. Defina una cuota en el sistema de archivos de auditoría principal.
  En el siguiente ejemplo, cuando ambos discos en la agrupación auditp alcanzan la cuota, la secuencia de comandos audit_warn notifica al administrador de la auditoría.
```
# zfs set quota=510G auditp/auditf
```
2. Defina una cuota en los sistemas de archivos de auditoría descendientes.
  En el siguiente ejemplo, cuando se alcanza la cuota para el sistema de archivos auditp/auditf/sistema, la secuencia de comandos audit_warn notifica al administrador de la auditoría.
```
# zfs set quota=170G auditp/auditf/sys1
# zfs set quota=170G auditp/auditf/sys1.1
# zfs set quota=165G auditp/auditf/sys1.2
```
Para una agrupación grande, limite el tamaño de los archivos de auditoría.
De manera predeterminada, un archivo de auditoría puede crecer hasta alcanzar el tamaño de la agrupación. Para facilitar la gestión, limite el tamaño de los archivos de auditoría. Consulte el Ejemplo 28-14.

Ejemplo 28-12 Creación de un sistema de archivos cifrado para archivos de auditoría

Para cumplir con los requisitos de seguridad del sitio, el administrador crea el sistema de archivos de auditoría con el cifrado activado. A continuación, el administrador define el punto de montaje.

# zfs create -o encryption=on auditp/auditf
Enter passphrase for auditp/auditf': /** Type 8-character minimum passphrase**/
Enter again: /** Confirm passphrase **/
# zfs set -o mountpoint=/audit auditp/auditf

Cuando el administrador crea sistemas de archivos adicionales en el sistema de archivos auditf, estos sistemas de archivos descendientes también se cifran.

Ejemplo 28-13 Configuración de una cuota en el directorio /var/audit

En este ejemplo, el administrador define una cuota en el sistema de archivos de auditoría predeterminado. Cuando se alcanza esta cuota, la secuencia de comandos audit_warn advierte al administrador de la auditoría.

# zfs set quota=252G rpool/var/audit

Cómo asignar espacio de auditoría para la pista de auditoría

En este procedimiento, utilice atributos para el complemento audit_binfile con el fin de asignar espacio en disco adicional a la pista de auditoría.

Antes de empezar

Debe tener asignado el perfil de derechos de configuración de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.

Determine los atributos para el complemento audit_binfile.

Lea la sección ATRIBUTOS DE OBJETO de la página del comando man audit_binfile(5).

# man audit_binfile
...
OBJECT ATTRIBUTES
     The p_dir attribute specifies where the audit files will be
     created. The directories are listed in the order in which
     they are to be used.
     
     The p_minfree attribute defines the percentage of free space
     that the audit system requires before the audit daemon invokes
     the audit_warn script.

     The p_fsize attribute defines the maximum size in bytes that
     an  audit  file can become before it is automatically closed
     and a new audit file  opened.  ...

Para agregar directorios a la pista de auditoría, especifique el atributo p_dir.
El sistema de archivos predeterminado es /var/audit.
```
# auditconfig -setplugin audit_binfile active p_dir=/audit/sys1.1,/var/audit
```
El comando anterior establece el sistema de archivos /audit/sys1.1 como el directorio principal para archivos de auditoría y el sistema de archivos /var/audit como el directorio secundario. En este escenario, /var/audit es el directorio de último recurso. Para que esta configuración se realice correctamente, el sistema de archivos /audit/sys1.1 debe existir.
Ha creado un sistema de archivos similar en Cómo crear sistemas de archivos ZFS para archivos de auditoría.
Refresque el servicio de auditoría.
El comando auditconfig -setplugin define el valor configurado. Este valor es una propiedad del servicio de auditoría, por lo que se restaura cuando el servicio se refresca o se actualiza. El valor configurado se convierte en activo cuando el servicio de auditoría se refresca o se actualiza. Para obtener información sobre valores activos y configurados, consulte la página del comando man auditconfig(1M).
```
# audit -s
```

Ejemplo 28-14 Limitación de tamaño de archivo para el complemento audit_binfile

En el siguiente ejemplo, el tamaño de un archivo de auditoría binario está establecido en un tamaño específico. El tamaño está especificado en megabytes.

# auditconfig -setplugin audit_binfile active p_fsize=4M
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;

De manera predeterminada, un archivo de auditoría puede crecer sin límite. Para crear archivos de auditoría más pequeños, el administrador especifica un límite de tamaño de archivo de 4 MB. El servicio de auditoría crea un nuevo archivo cuando se alcanza el límite de tamaño. El límite de tamaño de archivo entra en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s

Ejemplo 28-15 Especificación de varios cambios para un complemento de auditoría

En el siguiente ejemplo, el administrador en un sistema con un alto rendimiento y una agrupación ZFS grande cambia el tamaño de la cola, el tamaño del archivo binario y la advertencia del límite dinámico para el complemento audit_binfile. El administrador permite que los archivos de auditoría crezcan a 4 GB, es advertido cuando queda un 2% de la agrupación ZFS y duplica el tamaño de la cola permitido. El tamaño predeterminado de la cola es la marca de agua superior para la cola de la auditoría del núcleo, 100, como en active audit queue hiwater mark (records) = 100.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;
# auditconfig -setplugin audit_binfile active "p_minfree=2;p_fsize=4G" 200
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    Queue size: 200

Las especificaciones cambiadas entran en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s

Ejemplo 28-16 Eliminación del tamaño de la cola de un complemento de auditoría

En el siguiente ejemplo, se elimina el tamaño de la cola para el complemento audit_binfile.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    Queue size: 200
# auditconfig -setplugin audit_binfile active "" ""
# auditconfig -getplugin audit_binfile
 Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;

Las comillas vacías finales ("") establecen el tamaño de la cola para el complemento en el valor predeterminado.

El cambio en la especificación qsize para el complemento entra en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s

Ejemplo 28-17 Definición de un límite dinámico para advertencias

En este ejemplo, está configurado el nivel mínimo de espacio libre para todos los sistemas de archivos de auditoría, de modo que se emite una advertencia cuando aún queda disponible el 2 % del sistema de archivos.

# auditconfig -setplugin audit_binfile active p_minfree=2

El porcentaje predeterminado es uno (1). Para una agrupación ZFS grande, seleccione un porcentaje razonablemente bajo. Por ejemplo, el 10 % de 16 TB es aproximadamente 16 GB, lo que advertiría al administrador de la auditoría cuando queda bastante espacio en disco. Un valor de 2 envía el mensaje audit_warn cuando quedan aproximadamente 2 GB de espacio en disco.

El alias de correo electrónico audit_warn recibe la advertencia. Para configurar el alias, consulte Cómo configurar el alias de correo electrónico audit_warn.

Para una agrupación grande, el administrador también limita el tamaño del archivo a 3 GB.

# auditconfig -setplugin audit_binfile active p_fsize=3G

Las especificaciones p_minfree y p_fsize para el complemento entran en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s

Cómo enviar archivos de auditoría a un depósito remoto

En este procedimiento, se utilizan atributos para el complemento audit_remote para enviar la pista de auditoría a un depósito de auditoría remoto.

Antes de empezar

Debe tener un receptor de archivos de auditoría en el depósito remoto. Debe tener asignado el perfil de derechos de configuración de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.

Determine los atributos para el complemento audit_remote.

Lea la sección ATRIBUTOS DE OBJETO de la página del comando man audit_remote(5).

# man audit_remote
...
OBJECT ATTRIBUTES
     The p_hosts attribute specifies the remote servers.
     You can also specify the port number and the GSS-API
     mechanism.
     
     The p_retries attribute specifies the number of retries for
     connecting and sending data. The default is 3.

     The p_timeout attribute specifies the number of seconds
     in which a connection times out.

El puerto predeterminado es el puerto asignado por IANA solaris_audit, 16162/tcp. El mecanismo predeterminado es kerberos_v5. El tiempo de espera predeterminado es de 5 s. También puede especificar un tamaño de cola para el complemento.

Para especificar los hosts remotos, utilice el atributo p_hosts.

# auditconfig -setplugin audit_remote active p_hosts=rhost1:16088:kerberos_v5

Para especificar el número de reintentos, utilice el atributo p_retries.
```
# auditconfig -setplugin audit_remote active p_retries=5
```
Para especificar la longitud del tiempo de espera de una conexión, utilice el atributo p_timeout.
```
# auditconfig -setplugin audit_remote active p_timeout=3
```
Refresque el servicio de auditoría.
El servicio de auditoría lee el cambio de complemento de auditoría después del refrescamiento.
```
# audit -s
```

Cómo configurar registros de auditoría `syslog`

Puede indicar al servicio de auditoría que copie algunos o todos los registros de auditoría de la cola de auditoría en la utilidad syslog. Si registra datos de auditoría binarios y resúmenes de textos, los datos binarios proporcionan un registro completo de auditoría, mientras que los resúmenes filtran los datos para la revisión en tiempo real.

Antes de empezar

Para configurar el complemento audit_syslog, debe tener asignado el perfil de derechos de configuración de auditoría. Para configurar la utilidad syslog, debe estar en el rol root.

Seleccione las clases de auditoría que se enviarán al complemento audit_syslog y active el complemento.
Nota - Las clases de auditoría p_flags deben ser preseleccionadas como valores predeterminados del sistema o en los indicadores de auditoría de un usuario o de un perfil de derechos. Los registros no se recopilan para una clase que no está preseleccionada.
```
# auditconfig -setplugin audit_syslog active p_flags=lo,+as,-ss
```
Configure la utilidad syslog.
1. Agregue una entrada audit.notice al archivo syslog.conf.
  La entrada incluye la ubicación del archivo de registro.
```
# cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog
```
2. Cree el archivo de registro.
```
# touch /var/adm/auditlog
```
3. Refresque la información de configuración para el servicio syslog.
```
# svcadm refresh system/system-log
```
Refresque el servicio de auditoría.
El servicio de auditoría lee los cambios en el complemento de auditoría tras el refrescamiento.
```
# audit -s
```
Archive con regularidad los archivos de registro syslog.
El servicio de auditoría puede generar muchas salidas. Para gestionar los registros, consulte la página del comando man logadm(1M).

Ejemplo 28-18 Especificación de clases de auditoría para salida de syslog

En el siguiente ejemplo, la utilidad syslog recopila un subconjunto de clases de auditoría preseleccionadas. La clase pf se crea en el Ejemplo 28-10.

# auditconfig -setnaflags lo,na
# auditconfig -setflags lo,ss
# usermod -K audit_flags=pf:no jdoe
# auditconfig -setplugin audit_syslog active p_flags=lo,+na,-ss,+pf

Los argumentos del comando auditconfig indican al sistema que recopile todos los registros de auditoría de inicio y cierre de sesión, no atribuibles y de cambio de estado del sistema. La entrada del complemento audit_syslog indica a la utilidad syslog que recopile todos los inicios de sesión, los eventos no atribuibles con éxito y los cambios de estado del sistema con fallos.

Para el usuario jdoe, el registro de auditoría binario incluye todos los usos de una llamada al comando pfexec. Para que estos eventos estén disponibles para postselección, el complemento audit_binfile o audit_remote debe estar activo. La utilidad syslog recopila llamadas con éxito al comando pfexec.

Ejemplo 28-19 Colocación de registros de auditoría syslog en un sistema remoto

Puede cambiar la entrada audit.notice en el archivo syslog.conf para que haga referencia a un sistema remoto. En este ejemplo, el nombre del sistema local es sys1.1. El sistema remoto es remote1.

sys1.1 # cat /etc/syslog.conf
…
audit.notice       @remote1

La entrada audit.notice en el archivo syslog.conf del sistema remote1 hace referencia al archivo de registro.

remote1 # cat /etc/syslog.conf
…
audit.notice       /var/adm/auditlog

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español)