Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
28. Gestión de auditoría (tareas)
Gestión de auditoría (mapa de tareas)
Configuración del servicio de auditoría (tareas)
Configuración del servicio de auditoría (mapa de tareas)
Cómo visualizar los valores predeterminados del servicio de auditoría
Cómo preseleccionar clases de auditoría
Cómo configurar las características de auditoría de un usuario
Cómo cambiar la política de auditoría
Cómo cambiar controles de colas de auditoría
Cómo configurar el alias de correo electrónico audit_warn
Cómo agregar una clase de auditoría
Cómo cambiar una pertenencia a clase de un evento de auditoría
Configuración de registros de auditoría (tareas)
Configuración de registros de auditoría (mapa de tareas)
Cómo crear sistemas de archivos ZFS para archivos de auditoría
Cómo asignar espacio de auditoría para la pista de auditoría
Cómo enviar archivos de auditoría a un depósito remoto
Cómo configurar registros de auditoría syslog
Configuración del servicio de auditoría en las zonas (tareas)
Cómo configurar todas las zonas de forma idéntica para la auditoría
Cómo configurar la auditoría por zona
Habilitación y deshabilitación del servicio de auditoría (tareas)
Cómo refrescar el servicio de auditoría
Cómo deshabilitar el servicio de auditoría
Cómo habilitar el servicio de auditoría
Gestión de registros de auditoría en sistemas locales (tareas)
Gestión de registros de auditoría en sistemas locales (mapa de tareas)
Cómo visualizar definiciones de registros de auditoría
Cómo fusionar archivos de auditoría de la pista de auditoría
Cómo seleccionar eventos de auditoría de la pista de auditoría
Cómo visualizar el contenido de los archivos de auditoría binarios
Cómo depurar un archivo de auditoría not_terminated
Cómo evitar el desbordamiento de la pista de auditoría
Solución de problemas del servicio de auditoría (tareas)
Solución de problemas del servicio de auditoría (mapa de tareas)
Cómo determinar que la auditoría se está ejecutando
Cómo reducir el volumen de los registros de auditoría que se producen
Cómo auditar todos los comandos por usuarios
Cómo buscar registros de auditoría de los cambios realizados en archivos específicos
Cómo actualizar la máscara de preselección de usuarios con sesión iniciada
Cómo evitar la auditoría de eventos específicos
Cómo limitar el tamaño de los archivos de auditoría binarios
Cómo comprimir archivos de auditoría en un sistema de archivos dedicado
Cómo auditar inicios de sesión de otros sistemas operativos
Antes de habilitar la auditoría en su red, puede modificar los valores predeterminados para satisfacer los requisitos de auditoría de su sitio. Lo mejor es personalizar la configuración de auditoría lo más posible antes de que los primeros usuarios inicien sesión.
Si ha implementado zonas, puede decidir auditar todas las zonas de la zona global o auditar las zonas no globales individualmente. Para obtener una descripción general, consulte Auditoría y zonas de Oracle Solaris. Para obtener información sobre planificación, consulte Cómo planificar auditoría en zonas. Para obtener información sobre los procedimientos, consulte Configuración del servicio de auditoría en las zonas (tareas).
En el siguiente mapa de tareas, se hace referencia a los procedimientos para configurar la auditoría. Todas las tareas son opcionales.
|
Los comandos en este procedimiento muestran la configuración de auditoría actual. La salida en este procedimiento se toma de un sistema no configurado.
Antes de empezar
Debe tener asignado el perfil de derechos de control de auditoría o de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo es el indicador para la clase de auditoría login/logout. El formato de la salida de la máscara es (éxito, fallo).
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
Nota - Para ver qué eventos están asignados a una clase y, por lo tanto, qué eventos se registran, ejecute el comando auditrecord -c clase.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
La política activa es la política actual, pero el valor de la política no es almacenado por el servicio de auditoría. La política configurada es almacenada por el servicio de auditoría, por lo que la política se restaura al reiniciar el servicio de auditoría.
$ auditconfig -getplugin Plugin: audit_binfile (active) Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
El complemento audit_binfile está activo de manera predeterminada.
$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
El control de colas activo es el control de colas que está siendo utilizado actualmente por el núcleo. La cadena no configured indica que el sistema está utilizando los valores predeterminados.
Busque los usuarios y, a continuación, visualice el valor de atributo audit_flags del usuario.
# who adoe pts/1 Oct 10 10:20 (:0.0) adoe pts/2 Oct 10 10:20 (:0.0) jdoe pts/5 Oct 12 12:20 (:0.0) jdoe pts/6 Oct 12 12:20 (:0.0) ... # userattr audit_flags adoe # userattr audit_flags jdoe
De manera predeterminada, los usuarios sólo se auditan para la configuración en todo el sistema.
Para ver una descripción del comando userattr, consulte la página del comando man userattr(1). Para ver una descripción de la palabra clave audit_flags, consulte la página del comando user_attr(4).
Preseleccione clases de auditoría que contienen los eventos que desea supervisar. Los eventos que no están en clases preseleccionadas no se registran.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# auditconfig -getflags ...
# auditconfig -getnaflags ,,,
Para obtener una explicación de la salida, consulte Cómo visualizar los valores predeterminados del servicio de auditoría.
# auditconfig -setflags lo,ps,fw user default audit flags = ps,lo,fw(0x101002,0x101002)
Este comando audita los eventos en las clases de inicio y cierre de sesión, inicio y detención de procesos y escritura de archivos para determinar si se efectuaron con éxito o fallaron.
Nota - El comando auditconfig -setflags no agrega clases a los valores predeterminados actuales del sistema. Este comando sustituye los valores predeterminados del sistema, por lo que debe especificar todas las clases que desea preseleccionar.
La clase na contiene montajes no atribuibles, de inicio y de PROM, entre otros eventos.
# auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
Los argumentos lo y na son los únicos argumentos útiles de la opción -setnaflags.
Nota - El comando auditconfig -setnaflags sustituye los valores predeterminados del sistema, por lo que usted debe especificar todas las clases que desea preseleccionar.
Mediante la preselección de clases por usuario en lugar de por sistema, a veces, puede reducir el impacto de la auditoría en el rendimiento del sistema. También puede que desee auditar a usuarios específicos de manera ligeramente diferente del sistema.
Las preselecciones de clase de auditoría para cada usuario son especificadas por el atributo de seguridad audit_flags. Estos valores específicos de usuario, además de las clases preseleccionadas para el sistema, determinan la máscara de auditoría del usuario, como se describe en Características del proceso de auditoría.
Antes de empezar
Debe tener el rol root.
# usermod -K audit_flags=fw:no jdoe
El formato de la palabra clave audit_flags es siempre_auditar:nunca_auditar.
Muestra las clases de auditoría que se van a auditar para este usuario. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^). Las clases que se agregan a las clases de todo el sistema no están precedidas por un signo de intercalación.
Muestra las clases de auditoría que nunca se van a auditar para el usuario, incluso si estos eventos de auditoría se auditan en todo el sistema. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^).
Para especificar varias clases de auditoría, separe las clases con comas. Para obtener más información, consulte la página del comando man audit_flags(5).
# profiles -p "System Administrator" profiles:System Administrator> set name="Audited System Administrator" profiles:Audited System Administrator> set always_audit=fw,as profiles:Audited System Administrator> end profiles:Audited System Administrator> exit
Cuando asigna el perfil de derechos de administrador del sistema auditado a un usuario o un rol, ese usuario o rol se audita en busca de esos indicadores, según el orden de búsqueda, como se describe en Orden de búsqueda para atributos de seguridad asignados.
Ejemplo 28-1 Cambio de eventos que se van a auditar para un usuario
En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Ningún usuario, excepto el administrador, inicia sesión.
Para reducir el impacto del evento de auditoría AUE_PFEXEC en los recursos del sistema, el administrador no audita este evento en el nivel del sistema. En su lugar, el administrador selecciona previamente la clase pf para un usuario, jdoe. La clase pf se crea en el Ejemplo 28-10.
# usermod -K audit_flags=pf:no jdoe
El comando userattr muestra la adición.
# userattr audit_flags jdoe pf:no
Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = ss,pf,lo(0x0100000000000000,0x0100000008011000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
Ejemplo 28-2 Modificación de excepción de preselección de auditoría para un usuario
En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:
# auditconfig -getflags active user default audit flags = ss,lo(0x11000,0x11000) configured user default audit flags = ss,lo(0x11000,0x11000)
Ningún usuario, excepto el administrador, inicia sesión.
El administrador decide no recopilar eventos ss fallidos para el usuario jdoe.
# usermod -K audit_flags=^-ss:no jdoe
El comando userattr muestra la excepción.
# userattr audit_flags jdoe ^-ss:no
Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.
# auditconfig -getpinfo 289 audit id = jdoe(1234) process preselection mask = +ss,lo(0x11000,0x1000) terminal id (maj,min,host) = 242,511,example1(192.168.160.171) audit session id = 103203403
Ejemplo 28-3 Auditoría de usuarios seleccionados, sin auditoría en todo el sistema
En este ejemplo, se auditan el inicio de sesión y las actividades de rol de cuatro usuarios seleccionados en el sistema. No se preseleccionan clases de auditoría para el sistema.
En primer lugar, el administrador elimina todos los indicadores en todo el sistema.
# auditconfig -setflags no user default audit flags = no(0x0,0x0)
A continuación, el administrador selecciona previamente dos clases de auditoría para los cuatro usuarios. La clase pf se crea en el Ejemplo 28-10.
# usermod -K audit_flags=lo,pf:no jdoe # usermod -K audit_flags=lo,pf:no kdoe # usermod -K audit_flags=lo,pf:no pdoe # usermod -K audit_flags=lo,pf:no zdoe
A continuación, el administrador selecciona previamente la clase pf para el rol root.
# userattr audit_flags root # rolemod -K audit_flags=lo,pf:no root # userattr audit_flags root lo,pf:no
Para registrar intrusiones injustificadas, el administrador no cambia la auditoría de inicios de sesión no atribuibles.
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
Ejemplo 28-4 Eliminación de indicadores de auditoría de un usuario
En el siguiente ejemplo, el administrador elimina todos los indicadores de auditoría específicos de usuario. Los procesos existentes de usuarios que han iniciado sesión actualmente siguen siendo auditados.
El administrador ejecuta el comando usermod con la palabra clave audit_flags establecida en ningún valor.
# usermod -K audit_flags= jdoe # usermod -K audit_flags= kdoe # usermod -K audit_flags= ldoe
A continuación, el administrador verifica la eliminación.
# userattr audit_flags jdoe # userattr audit_flags kdoe # userattr audit_flags ldoe
Ejemplo 28-5 Creación de un perfil de derechos para un grupo de usuarios
El administrador desea que todos los perfiles de derechos administrativos del sitio auditen explícitamente la clase pf. Para cada perfil de derechos que se va a asignar, el administrador crea una versión específica de sitio en LDAP que incluye indicadores de auditoría.
En primer lugar, el administrador clona un perfil de derechos existente y, luego, cambia el nombre y agrega indicadores de auditoría.
# profiles -p "Network Wifi Management" -S ldap profiles: Network Wifi Management> set name="Wifi Management" profiles: Wifi Management> set desc="Audited wifi management" profiles: Wifi Management> set audit_always=pf profiles: Wifi Management> exit
Después de repetir este procedimiento para cada perfil de derechos que se va a utilizar, el administrador enumera la información en el perfil de gestión de Wi-Fi.
# profiles -p "Wifi Management" -S ldap info name=Wifi Management desc=Audited wifi management auths=solaris.network.wifi.config help=RtNetWifiMngmnt.html always_audit=pf
La política de auditoría determina las características de los registros de auditoría para el sistema local. Puede cambiar la política de auditoría para registrar información detallada sobre comandos auditados, para agregar un nombre de zona a cada registro o para satisfacer otros requisitos de seguridad del sitio.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
$ auditconfig -getpolicy ...
Para obtener una explicación de la salida, consulte Cómo visualizar los valores predeterminados del servicio de auditoría.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
Nota - Las opciones de política perzone y ahlt solamente se pueden configurar en la zona global. Para que las compensaciones usen una opción de política particular, consulte Comprensión de la política de auditoría.
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
Optativo. Crea una política activa o temporal. Puede definir una política temporal para depurar o para fines de prueba.
Una política temporal permanece vigente hasta que el servicio de auditoría se refresca o hasta que la política es modificada por el comando auditconfig -setpolicy.
Un valor de prefijo de + agrega la lista de políticas a la política actual. Un valor de prefijo de - elimina la lista de políticas de la política actual. Sin un prefijo, la política de auditoría se restablece. Esta opción le permite mantener las políticas de auditoría actuales.
Selecciona la política que se habilitará o deshabilitará.
Ejemplo 28-6 Configuración de la opción de política de auditoría ahlt
En este ejemplo, la política cnt está deshabilitada y la política ahlt está habilitada. Con esta configuración, el uso del sistema se detiene cuando las colas de auditoría están llenas y se produce un evento asíncrono. Cuando se produce un evento síncrono, se bloquea el proceso que creó el subproceso. Esta configuración es adecuada cuando la seguridad es más importante que la disponibilidad. Para obtener más información, consulte Políticas de auditoría para eventos síncronos y asíncronos.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
El signo más (+) antes de la política ahlt agrega la política a la configuración de política actual. Sin el signo más, la política ahlt sustituye la configuración de política actual.
Ejemplo 28-7 Definición de una política de auditoría temporal
En este ejemplo, el servicio de auditoría está habilitado, y la política de auditoría ahlt está configurada. El administrador agrega la política de auditoría trail a la política activa (+trail), pero no configura el servicio de auditoría para utilizar la política de auditoría trail permanentemente (-t). La política trail ayuda en la recuperación de pistas de auditoría dañadas.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
El administrador deshabilita la política trail cuando la depuración finaliza.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
Refrescar el servicio de auditoría ejecutando el comando audit -s también elimina esta política temporal, además de otros valores temporales en el servicio de auditoría. Para ver ejemplos de otros valores temporales, consulte Cómo cambiar controles de colas de auditoría.
Ejemplo 28-8 Configuración de la política de auditoría perzone
En este ejemplo, la política de auditoría perzone se agrega a la política existente en la zona global. La configuración de la política perzone se almacena como una propiedad permanente, por lo que la política perzone está en vigor durante la sesión y cuando el servicio de auditoría se reinicia.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cnt
El servicio de auditoría proporciona valores predeterminados para parámetros de cola de auditoría. Puede inspeccionar y cambiar permanente o temporalmente estos valores con el comando auditconfig.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
$ auditconfig -getqctrl ...
Para obtener una explicación de la salida, consulte Cómo visualizar los valores predeterminados del servicio de auditoría.
Para ver ejemplos y una descripción de los controles de colas de auditoría, consulte la página del comando man auditconfig(1M).
Para modificar algunos o todos los controles de colas de auditoría, utilice la opción -setqctrl.
# auditconfig [ -t ] -setqctrl hiwater lowater bufsz interval
Por ejemplo, establezca el valor intervalo en 10 sin establecer los otros controles.
# auditconfig -setqctrl 0 0 0 10
Para modificar un control de colas de auditoría específico, especifique su opción. La opción -setqdelay es el equivalente de -setqctrl 0 0 0 intervalo, como en # auditconfig -setqdelay 10.
# auditconfig [ -t ] -setqhiwater value # auditconfig [ -t ] -setqlowater value # auditconfig [ -t ] -setqbufsz value # auditconfig [ -t ] -setqdelay value
Ejemplo 28-9 Restablecimiento de un control de colas de auditoría al valor predeterminado
El administrador define todos los controles de colas de auditoría y luego regresa el valor lowater en el depósito al valor predeterminado.
# auditconfig -setqctrl 200 5 10216 10 # auditconfig -setqctrl 200 0 10216 10 configured audit queue hiwater mark (records) = 200 no configured audit queue lowater mark configured audit queue buffer size (bytes) = 10216 configured audit queue delay (ticks) = 10 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 5 active audit queue buffer size (bytes) = 10216 active audit queue delay (ticks) = 10
A continuación, el administrador establece el valor lowater en el valor predeterminado para la sesión actual.
# auditconfig -setqlowater 10 # auditconfig -getqlowater configured audit queue lowater mark (records) = 10 active audit queue lowater mark (records) = 10
La secuencia de comandos /etc/security/audit_warn genera correo que notifica al administrador sobre incidentes de auditoría que podrían requerir atención. Puede personalizar la secuencia de comandos y puede enviar el correo a una cuenta que no sea root.
Si la política perzone está establecida, el administrador de la zona no global debe configurar el alias de correo audit_warn en la zona no global.
Antes de empezar
Debe tener el rol root.
Elija una de las siguientes opciones:
OPCIÓN 1: reemplace el alias de correo electrónico audit_warn con otra cuenta de correo electrónico en la secuencia de comandos audit_warn.
Cambie el alias de correo electrónico audit_warn en la línea ADDRESS de la secuencia de comandos a otra dirección:
#ADDRESS=audit_warn # standard alias for audit alerts ADDRESS=audadmin # role alias for audit alerts
Precaución - Al actualizar a una nueva versión del SO Oracle Solaris, debe fusionar manualmente el archivo audit_warn personalizado con el archivo audit_warn.new. Este nuevo archivo puede contener cambios importantes. Para obtener una descripción de la acción de archivo preserve=renamenew en la actualización, consulte la página del comando man pkg(5). |
OPCIÓN 2: redirija el correo electrónico audit_warn a otra cuenta de correo.
En este caso, debe agregar el alias de correo electrónico audit_warn al archivo de alias adecuado. Puede agregar el alias al archivo local /etc/mail/aliases o a la base de datos mail_aliases en el nombre de espacio. La entrada /etc/mail/aliases se parecería a lo siguiente si las cuentas de correo electrónico root y audadmin se han agregado como miembros del alias de correo electrónico audit_warn:
audit_warn: root,audadmin
A continuación, ejecute el comando newaliases para reconstruir la base de datos de acceso aleatorio para el archivo aliases.
# newaliases /etc/mail/aliases: 14 aliases, longest 10 bytes, 156 bytes total
Cuando crea su propia clase de auditoría, puede colocar en ella sólo los eventos de auditoría que desea auditar para su sitio.
Al agregar la clase en un sistema, copie el cambio en todos los sistemas que se están auditando. Lo mejor es crear clases de auditoría antes de habilitar el servicio de auditoría.
Precaución - Al actualizar a una nueva versión del SO Oracle Solaris, debe fusionar manualmente el archivo audit_class personalizado con el archivo audit_class.new. Este nuevo archivo puede contener cambios importantes. Para obtener una descripción de la acción de archivo preserve=renamenew en la actualización, consulte la página del comando man pkg(5). |
Antes de empezar
La entrada debe ser única. Debe elegir bits libres. Los bits disponibles para uso de clientes se describen en el archivo /etc/security/audit_class.
Debe tener el rol root.
# cp /etc/security/audit_class /etc/security/audit_class.orig
Cada entrada tiene el siguiente formato:
0x64bitnumber:flag:description
Para obtener una descripción de los campos, consulte la página del comando man audit_class(4). Para obtener una lista de clases existentes, lea el archivo /etc/security/audit_class.
Ejemplo 28-10 Creación de una clase de auditoría nueva
En este ejemplo, se crea una clase para mantener los comandos administrativos que se ejecutan en un rol. La entrada agregada al archivo audit_class se muestra a continuación:
0x0100000000000000:pf:profile command
La entrada crea la clase de auditoría nueva pf. En el Ejemplo 28-11, se rellena la clase de auditoría nueva.
Errores más frecuentes
Si personalizó el archivo audit_class, asegúrese de que todas las excepciones de usuario para la máscara de preselección de auditoría del sistema sean coherentes con las clases de auditoría nuevas. Se producen errores cuando un valor audit_flags no es un subconjunto del archivo audit_class.
Puede que desee cambiar la pertenencia a clase de un evento de auditoría para reducir el tamaño de una clase de auditoría existente o para colocar el evento en una clase propia.
Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo. |
Cuando reconfigura asignaciones de evento-clase de auditoría en un sistema, copie el cambio en todos los sistemas que se auditan. Lo mejor es cambiar asignaciones de evento-clase antes de que los usuarios inicien sesión.
Precaución - Al actualizar a una nueva versión del SO Oracle Solaris, debe fusionar manualmente el archivo audit_event personalizado con el archivo audit_event.new. Este nuevo archivo puede contener cambios importantes. Para obtener una descripción de la acción de archivo preserve=renamenew en la actualización, consulte la página del comando man pkg(5). |
Antes de empezar
Debe tener el rol root.
# cp /etc/security/audit_event /etc/security/audit_event.orig
Cada entrada tiene el siguiente formato:
number:name:description:class-list
ID de evento de auditoría.
Nombre del evento de auditoría.
Normalmente, la llamada de sistema o el ejecutable que desencadena la creación de un registro de auditoría.
Lista separada por comas de las clases de auditoría.
Ejemplo 28-11 Asignación de eventos de auditoría existentes a una nueva clase
En este ejemplo, se asigna un evento de auditoría existente a la nueva clase creada en el Ejemplo 28-10. De manera predeterminada, el evento de auditoría AUE_PFEXEC se asigna a cuatro clases: ps, ex, ua y as. Mediante la creación de la nueva clase, el administrador puede auditar eventos AUE_PFEXEC sin auditar los eventos en cualquiera de las otras cuatro clases.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # vi /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)