Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
28. Gestión de auditoría (tareas)
Gestión de auditoría (mapa de tareas)
Configuración del servicio de auditoría (tareas)
Configuración del servicio de auditoría (mapa de tareas)
Cómo visualizar los valores predeterminados del servicio de auditoría
Cómo preseleccionar clases de auditoría
Cómo configurar las características de auditoría de un usuario
Cómo cambiar la política de auditoría
Cómo cambiar controles de colas de auditoría
Cómo configurar el alias de correo electrónico audit_warn
Cómo agregar una clase de auditoría
Cómo cambiar una pertenencia a clase de un evento de auditoría
Configuración de registros de auditoría (tareas)
Configuración de registros de auditoría (mapa de tareas)
Cómo crear sistemas de archivos ZFS para archivos de auditoría
Cómo asignar espacio de auditoría para la pista de auditoría
Cómo enviar archivos de auditoría a un depósito remoto
Cómo configurar registros de auditoría syslog
Configuración del servicio de auditoría en las zonas (tareas)
Cómo configurar todas las zonas de forma idéntica para la auditoría
Cómo configurar la auditoría por zona
Habilitación y deshabilitación del servicio de auditoría (tareas)
Cómo refrescar el servicio de auditoría
Cómo deshabilitar el servicio de auditoría
Cómo habilitar el servicio de auditoría
Gestión de registros de auditoría en sistemas locales (tareas)
Gestión de registros de auditoría en sistemas locales (mapa de tareas)
Cómo visualizar definiciones de registros de auditoría
Cómo fusionar archivos de auditoría de la pista de auditoría
Cómo seleccionar eventos de auditoría de la pista de auditoría
Cómo visualizar el contenido de los archivos de auditoría binarios
Cómo depurar un archivo de auditoría not_terminated
Cómo evitar el desbordamiento de la pista de auditoría
Solución de problemas del servicio de auditoría (tareas)
Solución de problemas del servicio de auditoría (mapa de tareas)
Cómo determinar que la auditoría se está ejecutando
Cómo reducir el volumen de los registros de auditoría que se producen
Cómo auditar todos los comandos por usuarios
Cómo buscar registros de auditoría de los cambios realizados en archivos específicos
Cómo actualizar la máscara de preselección de usuarios con sesión iniciada
Cómo evitar la auditoría de eventos específicos
Cómo limitar el tamaño de los archivos de auditoría binarios
Cómo comprimir archivos de auditoría en un sistema de archivos dedicado
En esta sección, se tratan distintos mensajes de error de auditoría, las preferencias y la auditoría proporcionada por otras herramientas. Estos procedimientos pueden ayudar a registrar eventos de auditoría necesarios y a depurar problemas de auditoría.
El siguiente mapa de tareas hace referencia a los procedimientos para la resolución de problemas de auditoría.
|
La auditoría está habilitada de manera predeterminada. Si cree que la auditoría no se ha deshabilitado, pero los registros de auditoría no se están enviando al complemento activo, utilice el siguiente procedimiento para aislar el problema.
Antes de empezar
Para modificar un archivo del sistema, debe estar en el rol root. Para configurar la auditoría, debe tener asignado el perfil de derechos de configuración de auditoría.
Utilice cualquiera de los métodos siguientes:
La siguiente lista indica que la auditoría no se está ejecutando:
# auditconfig -getcond audit condition = noaudit
La siguiente lista indica que la auditoría se está ejecutando:
# auditconfig -getcond audit condition = auditing
La siguiente lista indica que la auditoría no se está ejecutando:
# svcs -x auditd svc:/system/auditd:default (Solaris audit daemon) State: disabled since Sun Oct 10 10:10:10 2010 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: auditd(1M) See: audit(1M) See: auditconfig(1M) See: audit_flags(5) See: audit_binfile(5) See: audit_syslog(5) See: audit_remote(5) See: /var/svc/log/system-auditd:default.log Impact: This service is not running.
La siguiente lista indica que el servicio de auditoría se está ejecutando:
# svcs auditd STATE STIME FMRI online 10:10:10 svc:/system/auditd:default
Si el servicio de auditoría no se está ejecutando, habilítelo. Para conocer el procedimiento, consulte Cómo habilitar el servicio de auditoría.
# audit -v
Si no hay ningún complemento activo, active uno.
# auditconfig -setplugin audit_binfile active
Por ejemplo, la siguiente lista de indicadores contiene la clase pf, que el software Oracle Solaris no entregó:
# auditconfig -getflags active user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000) configured user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000)
Para obtener una descripción de la creación de la clase pf, consulte Cómo agregar una clase de auditoría.
La clase de auditoría debe estar definida, y su máscara debe ser única.
# grep pf /etc/security/audit_classVerify class exists 0x0100000000000000:pf:profile # grep 0x08000000 /etc/security/audit_classEnsure mask is unique 0x0100000000000000:pf:profile
Reemplace una máscara que no sea única. Si la clase no está definida, defínala. De lo contrario, ejecute el comando auditconfig -setflags con los valores válidos para restablecer los indicadores actuales.
Utilice uno de los métodos siguientes:
# auditconfig -lsevent | egrep " pf|,pf|pf," AUE_PFEXEC 116 pf execve(2) with pfexec enabled
# auditrecord -c pf List of audit events assigned to pf class
Si los eventos no están asignados a la clase, asigne los eventos adecuados a esta clase.
La secuencia de comandos audit_warn envía mensajes de alerta al alias de correo electrónico audit_warn. Ante la ausencia de un alias configurado correctamente, los mensajes se envían a la cuenta root.
La salida del comando svcs -s auditd muestra la ruta completa a los registros de auditoría que el servicio de auditoría produce. Para ver un ejemplo, consulte la lista en el Paso 1.
La secuencia de comandos audit_warn escribe mensajes daemon.alert en el archivo /var/log/syslog.
El archivo /var/adm/messages podría contener información.
# audit -s
Cuando haya determinado qué eventos deben auditarse en su ubicación, use las siguientes sugerencias para crear archivos de auditoría manejables.
Antes de empezar
Para preseleccionar clases de auditoría y definir la política de auditoría, debe tener asignado el perfil de derechos de configuración de auditoría. Para modificar archivos del sistema y para asignar indicadores de auditoría a usuarios, roles y perfiles de derechos, debe estar en el rol root.
En concreto, evite agregar eventos y tokens de auditoría a la pista de auditoría. Las siguientes políticas aumentan el tamaño de la pista de auditoría.
Política arge: agrega variables de entorno a los eventos de auditoría execv.
Política argv: agrega parámetros de comandos a los eventos de auditoría execv.
Política public: si va a auditar eventos de archivos, agregue un evento a la pista de auditoría cada vez que ocurra un evento auditable en un objeto público. Las clases de archivos incluyen fa, fc , fd, fm, fr, fw y cl. Para la definición de un archivo público, consulte Conceptos y terminología de auditoría.
Política path: agrega un token path a los eventos de auditoría que incluyen un token path opcional.
Política group: agrega un token de grupo a los eventos de auditoría que incluyen un token newgroups opcional.
Política seq: agrega un token de secuencia a cada evento de auditoría.
Política trail: agrega un token de ubicador a cada evento de auditoría.
Política windata_down: en un sistema configurado con Trusted Extensions, agrega eventos cuando se disminuye el nivel de la información en una ventana con etiqueta.
Política windata_up: en un sistema configurado con Trusted Extensions, agrega eventos cuando se aumenta el nivel de la información en una ventana con etiqueta.
Política zonename: agrega el nombre de zona a cada evento de auditoría. Si la zona global es la única zona configurada, agrega la cadena zone, global a cada evento de auditoría.
El siguiente registro de auditoría muestra el uso del comando ls. La clase ex se está auditando y la política predeterminada está en uso:
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1 return,success,0
A continuación, se muestra el mismo registro cuando se activan todas las políticas:
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl, ... path,/lib/ld.so.1 attribute,100755,root,bin,21,393073,18446744073709551615 subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1 group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon return,success,0 zone,global sequence,197 trailer,1578
Y no envíe dichos eventos de auditoría al complemento audit_binfile o audit_remote. Esta estrategia funciona sólo si no es necesario mantener registros binarios de los eventos de auditoría que envía a los registros syslog.
Reduzca la cantidad de auditoría para todos los usuarios mediante la reducción del número de clases de auditoría que se auditan en todo el sistema.
Utilice la palabra clave audit_flags para los comandos roleadd, rolemod, useradd y usermod con el fin de auditar eventos de usuarios y roles específicos. Para ver ejemplos, consulte el Ejemplo 28-18 y la página del comando man usermod(1M).
Utilice las propiedades always_audit y never_audit del comando profiles para auditar eventos de perfiles de derechos específicos. Para obtener información, consulte la página del comando man profiles(1).
Nota - Al igual que otros atributos de seguridad, los indicadores de auditoría son afectados por orden de búsqueda. Para obtener más información, consulte Orden de búsqueda para atributos de seguridad asignados.
Puede crear clases de auditoría en el sitio. En estas clases, coloque sólo los eventos de auditoría que necesita supervisar. Para conocer el procedimiento, consulte Cómo agregar una clase de auditoría.
Precaución - Si modifica asignaciones de clase de auditoría existentes, las modificaciones se pueden mantener al actualizar a una versión más reciente del sistema operativo Oracle Solaris. Sin embargo, la versión más reciente del archivo de Oracle Solaris puede incluir cambios que usted debe introducir manualmente en la instalación. Lea atentamente los registros de instalación. Para obtener más información, consulte la descripción de preserve=renamenew en la página del comando man pkg(5). |
Como parte de la política de seguridad del sitio, algunos sitios requieren registros de auditoría de todos los comandos ejecutados por la cuenta root y los roles administrativos. Algunos sitios pueden requerir registros de auditoría de todos los comandos por todos los usuarios. Además, los sitios pueden requerir que los argumentos de los comandos y el entorno se registren.
Antes de empezar
Para preseleccionar clases de auditoría y definir la política de auditoría, debe tener asignado el perfil de derechos de configuración de auditoría. Para asignar indicadores de auditoría a usuarios, roles y perfiles de derechos, debe estar en el rol root.
Para obtener más información, consulte Cómo obtener derechos administrativos.
La clase ex audita todas las llamadas a las funciones exec() y execve().
La clase lo audita los inicios de sesión, los cierres de sesión y los bloqueos de pantalla. La siguiente salida muestra todos los eventos de las clases ex y lo.
% auditconfig -lsevent | grep " lo " AUE_login 6152 lo login - local AUE_logout 6153 lo logout AUE_telnet 6154 lo login - telnet AUE_rlogin 6155 lo login - rlogin AUE_rshd 6158 lo rsh access AUE_su 6159 lo su AUE_rexecd 6162 lo rexecd AUE_passwd 6163 lo passwd AUE_rexd 6164 lo rexd AUE_ftpd 6165 lo ftp access AUE_ftpd_logout 6171 lo ftp logout AUE_ssh 6172 lo login - ssh AUE_role_login 6173 lo role login AUE_newgrp_login 6212 lo newgrp login AUE_admin_authenticate 6213 lo admin login AUE_screenlock 6221 lo screenlock - lock AUE_screenunlock 6222 lo screenlock - unlock AUE_zlogin 6227 lo login - zlogin AUE_su_logout 6228 lo su logout AUE_role_logout 6229 lo role logout AUE_smbd_session 6244 lo smbd(1m) session setup AUE_smbd_logoff 6245 lo smbd(1m) session logoff AUE_ClientConnect 9101 lo client connection to x server AUE_ClientDisconnect 9102 lo client disconn. from x server % auditconfig -lsevent | egrep " ex |,ex |ex," AUE_EXECVE 23 ex,ps execve(2)
En el siguiente ejemplo, root es un rol. El sitio ha creado tres roles: sysadm, auditadm y netadm. Todos los roles se auditan para determinar el éxito y el fallo de eventos en las clases ex y lo.
# rolemod -K audit_flags=lo,ex:no root # rolemod -K audit_flags=lo,ex:no sysadm # rolemod -K audit_flags=lo,ex:no auditadm # rolemod -K audit_flags=lo,ex:no netadm
# auditconfig -setflags lo,ex
El resultado es similar al siguiente:
header,129,2,AUE_EXECVE,,mach1,2010-10-14 12:17:12.616 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2486,50036632,82 0 mach1 return,success,0
# auditconfig -setpolicy +argv
El token exec_args registra los argumentos de los comandos:
header,151,2,AUE_EXECVE,,mach1,2010-10-14 12:26:17.373 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security subject,jdoe,root,root,root,root,2494,50036632,82 0 mach1 return,success,0
# auditconfig -setpolicy +arge
El token exec_env registra el entorno de los comandos:
header,1460,2,AUE_EXECVE,,mach1,2010-10-14 12:29:39.679 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl,...,_=/usr/bin/ls subject,jdoe,root,root,root,root,2502,50036632,82 0 mach1 return,success,0
Si tiene como objetivo registrar las escrituras de los archivos en comparación con un número limitado de archivos, como /etc/passwd y los archivos en el directorio /etc/default, debe utilizar el comando auditreduce para ubicar los archivos.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría para utilizar el comando auditconfig. Debe tener asignado el perfil de derechos de revisión de auditoría para utilizar el comando auditreduce. Para asignar indicadores de auditoría a usuarios y roles, debe estar en el rol root.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Agregar la clase a los indicadores de auditoría de un usuario o rol genera menos registros que agregar la clase a la máscara de preselección de auditoría en todo el sistema. Lleve a cabo uno de los pasos siguientes:
# rolemod -K audit_flags=fw:no root # rolemod -K audit_flags=fw:no sysadm # rolemod -K audit_flags=fw:no auditadm # rolemod -K audit_flags=fw:no netadm
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,fw user default audit flags = lo,fw(0x1002,0x1002)
Auditar éxitos genera menos registros que auditar fallos y éxitos. Lleve a cabo uno de los pasos siguientes:
# rolemod -K audit_flags=+fw:no root # rolemod -K audit_flags=+fw:no sysadm # rolemod -K audit_flags=+fw:no auditadm # rolemod -K audit_flags=+fw:no netadm
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,+fw user default audit flags = lo,+fw(0x1002,0x1000)
# auditconfig -getflags active user default audit flags = lo,fw(0x1002,0x1002) configured user default audit flags = lo,fw(0x1002,0x1002) # rolemod -K audit_flags=^-fw:no root # rolemod -K audit_flags=^-fw:no sysadm # rolemod -K audit_flags=^-fw:no auditadm # rolemod -K audit_flags=^-fw:no netadm
Los indicadores de todo el sistema aún no tienen cambios, pero la máscara de preselección para estos cuatro roles ha cambiado.
# auditconfig -getflags active user default audit flags = lo,fw(0x1002,0x1000) configured user default audit flags = lo,fw(0x1002,0x1000)
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
El comando auditreduce busca en la pista de auditoría todas las instancias del argumento file. El comando crea un archivo binario con el sufijo filechg que contiene todos los registros que incluyen los nombres de ruta de los archivos de interés. Consulte la página del comando man auditreduce(1M) para conocer la sintaxis de la opción -o file=nombre_ruta.
# praudit *filechg
Desea que los usuarios que ya han iniciado sesión sean auditados para detectar si hubo cambios en la máscara de preselección de auditoría de todo el sistema.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría. Para terminar sesiones de usuarios, debe tener asignado el perfil de derechos de gestión de procesos.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Dispone de dos opciones. Puede terminar las sesiones existentes o utilizar el comando auditconfig para actualizar las máscaras de preselección.
Los usuarios pueden cerrar la sesión y volver a iniciarla. Asimismo, usted, en un rol que tiene asignado el perfil de derechos de gestión de procesos puede terminar (eliminar) manualmente sesiones activas. Las nuevas sesiones heredan la nueva máscara de preselección. Sin embargo, cerrar la sesión de los usuarios puede ser poco práctico.
En un rol que incluye el perfil de derechos de configuración de auditoría, suponga que ha cambiado la máscara de preselección de auditoría de todo el sistema de lo a lo,ex.
# auditconfig -setflags lo,ex
# who -a jdoe - vt/2 Jan 25 07:56 4:10 1597 (:0) jdoe + pts/1 Jan 25 10:10 . 1706 (:0.0) ... jdoe + pts/2 Jan 25 11:36 3:41 1706 (:0.0)
# auditconfig -getpinfo 1706 audit id = jdoe(1234) process preselection mask = lo(0x1000,0x1000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 103203403
# auditconfig -setumask jdoe lo,ex /* for this user */
# auditconfig -setsmask 103203403 lo,ex /* for this session */
# auditconfig -setpmask 1706 lo,ex /* for this process */
Por ejemplo, compruebe un proceso que existía antes de haber cambiado la máscara.
# auditconfig -getpinfo 1706 audit id = jdoe(1234) process preselection mask = ex,lo(0x40001000,0x40001000) terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234) audit session id = 103203403
Con fines de mantenimiento, a veces, un sitio quiere evitar que se auditen eventos.
Antes de empezar
Debe tener el rol root.
Por ejemplo, los eventos 26 y 27 pertenecen a la clase pm.
## audit_event file ... 25:AUE_VFORK:vfork(2):ps 26:AUE_SETGROUPS:setgroups(2):pm 27:AUE_SETPGRP:setpgrp(2):pm 28:AUE_SWAPON:swapon(2):no ...
Cambie estos eventos a la clase no.
## audit_event file ... 25:AUE_VFORK:vfork(2):ps 26:AUE_SETGROUPS:setgroups(2):no 27:AUE_SETPGRP:setpgrp(2):no 28:AUE_SWAPON:swapon(2):no ...
Si la clase pm está asiendo auditada actualmente, las sesiones existentes aún auditarán los eventos 26 y 27. Para detener la auditoría de estos eventos, debe actualizar las máscaras de preselección de los usuarios siguiendo las instrucciones de Cómo actualizar la máscara de preselección de usuarios con sesión iniciada.
Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo. |
# auditconfig -conf Configured 283 kernel events.
Los archivos de auditoría binarios crecen sin límite. Para facilitar el archivado y la búsqueda, puede que desee limitar el tamaño. También puede crear archivos binarios más pequeños a partir del archivo original.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría para definir el atributo p_fsize. Debe tener asignado el perfil de derechos de revisión de auditoría para utilizar el comando auditreduce.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Para obtener una descripción del atributo p_fsize, consulte la sección ATRIBUTOS DE OBJETO de la página del comando man audit_binfile(5).
Si desea ver un ejemplo, consulte el Ejemplo 28-14.
Las opciones auditreduce -minúscula buscan registros específicos.
Las opciones auditreduce -mayúscula escriben las selecciones en un archivo. Para obtener más información, consulte la página del comando man auditreduce(1M).
Los archivos de auditoría pueden crecer mucho. Puede establecer un límite superior para el tamaño de un archivo, como se muestra en el Ejemplo 28-14. En este procedimiento, se utiliza la compresión para reducir el tamaño.
Antes de empezar
Debe tener asignados los perfiles de derechos de gestión de sistemas de archivos ZFS y de gestión de almacenamiento ZFS. El último perfil permite crear agrupaciones de almacenamiento.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Para conocer el procedimiento, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría.
Con ambas opciones, se comprime el sistema de archivos de auditoría. Después de que el servicio de auditoría se refresca, la razón de compresión se muestra.
Para establecer la compresión, utilice el comando zfs set compression=onconjunto_datos. En los siguientes ejemplos, la agrupación ZFS auditp/auditf es el conjunto de datos.
# zfs set compression=on auditp/auditf # audit -s # zfs get compressratio auditp/auditf NAME PROPERTY VALUE SOURCE auditp/auditf compressratio 4.54x -
# zfs set compression=gzip-9 auditp/auditf # zfs get compression auditp/auditf NAME PROPERTY VALUE SOURCE auditp/auditf compression gzip-9 local # audit -s # zfs get compressratio auditp/auditf NAME PROPERTY VALUE SOURCE auditp/auditf compressratio 16.89x -
El algoritmo de compresión gzip-9 genera archivos que ocupan un tercio menos de espacio que el algoritmo de compresión predeterminado, lzjb. Para obtener más información, consulte el Capítulo 6, Administración de sistemas de archivos ZFS de Oracle Solaris de Administración de Oracle Solaris: sistemas de archivos ZFS.
El sistema operativo Oracle Solaris puede auditar todos los inicios de sesión, independientemente del origen.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Esta clase audita los inicios de sesión, los cierres de sesión y los bloqueos de pantalla. Estas clases se auditan de manera predeterminada.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)
# auditconfig -getflags active user default audit flags = as,st(0x20800,0x20800) configured user default audit flags = as,st(0x20800,0x20800) # auditconfig -setflags lo,as,st user default audit flags = as,lo,st(0x21800,0x21800) # auditconfig -getnaflags active non-attributable audit flags = na(0x400,0x400) configured non-attributable audit flags = na(0x400,0x400) # auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
Nota - Para auditar inicios de sesión ssh, su sistema debe ejecutar el daemon ssh de Oracle Solaris. Este daemon se modifica para el servicio de auditoría en un sistema Oracle Solaris. Para obtener más información, consulte Secure Shell y el proyecto OpenSSH.
El servicio FTP crea registros de sus transferencias de archivos. El servicio SFTP, que se ejecuta bajo el protocolo ssh, puede ser auditado mediante la preselección de la clase de auditoría ft. Se pueden auditar los inicios de sesión en ambos servicios.
Antes de empezar
Debe tener asignado el perfil de derechos de configuración de auditoría.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Para conocer las opciones de registro disponibles, lea la sección de “capacidades de registro”. En particular, las opciones log commands y log transfers pueden proporcionar registros útiles.
La clase ft incluye las siguientes transacciones SFTP:
% auditrecord -c ft file transfer: chmod ... file transfer: chown ... file transfer: download ... file transfer: mkdir ... file transfer: upload ... file transfer: remove ... file transfer: rename ... file transfer: rmdir ... file transfer: session start ... file transfer: session end ... file transfer: symlink ... file transfer: utimes
Como indica la siguiente salida, el inicio y cierre de sesión del daemon ftpd generan registros de auditoría.
% auditrecord -c lo | more ... in.ftpd program /usr/sbin/in.ftpd See ftp access event ID 6165 AUE_ftpd class lo (0x0000000000001000) subject [text] error message return in.ftpd program /usr/sbin/in.ftpd See ftp logout event ID 6171 AUE_ftpd_logout class lo (0x0000000000001000) subject return ...