Uso de BART (tareas)

Puede ejecutar el comando bart como un usuario común, un superusuario o un usuario que ha asumido un rol. Si ejecuta el comando bart como un usuario común, sólo podrá catalogar y supervisar archivos para los que tiene permiso de acceso, como los archivos en el directorio principal. La ventaja de convertirse en superusuario al ejecutar el comando bart es que los manifiestos que crea contienen información sobre archivos ocultos y privados que posiblemente desee supervisar. Si necesita catalogar y supervisar información sobre archivos con permisos restringidos, por ejemplo, el archivo /etc/passwd o /etc/shadow, ejecute el comando bart como superusuario. Para obtener más información sobre el uso del control de acceso basado en roles, consulte Control de acceso basado en roles (descripción general).

Consideraciones de seguridad de BART

Si ejecuta el comando bart como superusuario, la salida es legible para todos los usuarios. Esta salida puede contener nombres de archivos que deberían ser privados. Si se convierte en superusuario al ejecutar el comando bart, tome las medidas adecuadas para proteger la salida. Por ejemplo, utilice opciones que generen archivos de salida con permisos restrictivos.

Uso de BART (mapa de tareas)

Cómo crear un manifiesto

Puede crear un manifiesto de un sistema inmediatamente después de la instalación inicial del software Oracle Solaris. Este tipo de manifiesto proporciona un punto de partida para comparar los cambios realizados en el mismo sistema a lo largo del tiempo. O bien, puede utilizar este manifiesto para compararlo con los manifiestos para diferentes sistemas. Por ejemplo, si toma una instantánea de cada sistema de la red y, a continuación, compara cada manifiesto de prueba con el manifiesto de control, puede determinar rápidamente lo que necesita hacer para sincronizar el sistema de prueba con la configuración de punto de partida.

Antes de empezar

Para crear un manifiesto del sistema, debe tener el rol root.

1. Después de instalar el software Oracle Solaris, cree un manifiesto de control y redirija la salida a un archivo.

   # bart create options > control-manifest

   -R

   Especifica el directorio raíz para el manifiesto. Todas las rutas especificadas por las reglas se interpretan en relación con este directorio. Todas las rutas informadas en el manifiesto están relacionadas con este directorio.

   -I

   Acepta una lista de archivos individuales para catalogarlos, ya sea en la línea de comandos o leídos de la entrada estándar.

   -r

   Nombre del archivo de reglas para este manifiesto. Tenga en cuenta que, cuando – se utiliza con la opción -r, el archivo de reglas se lee desde la entrada estándar.

   -n

   Desactiva firmas de contenido para todos los archivos regulares en la lista de archivos. Esta opción se puede utilizar mejorar el rendimiento. De manera alternativa, puede utilizar esta opción si se espera que cambie el contenido de la lista de archivos, como en el caso de los archivos de registro del sistema.

2. Examine el contenido del manifiesto.
3. Guarde el manifiesto para uso futuro.

   Elija un nombre significativo para el manifiesto. Por ejemplo, utilice el nombre del sistema y la fecha en que se creó el manifiesto.

Ejemplo 6-1 Creación de un manifiesto que muestra información sobre cada archivo de un sistema

Si ejecuta el comando bart create sin ninguna opción, se cataloga la información sobre cada archivo instalado en el sistema. Utilice este tipo de manifiesto como un punto de partida al instalar muchos sistemas desde una imagen central. O bien, utilice este tipo de manifiesto para realizar comparaciones cuando desee asegurarse de que las instalaciones sean idénticas.

Por ejemplo:

# bart create
! Version 1.1
! HASH SHA256
! Wednesday, September 07, 2011 (22:22:27)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/ D 1024 40755 user::rwx,group::r-x,mask:r-x,other:r-x
3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 0 0
.
.
.
/zone D 512 40755 user::rwx group::r-x,mask:r-x,other:r-x 3f81e892
154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 0 0
.
.
.

Cada manifiesto consta de un encabezado y entradas. Cada entrada de archivo de manifiesto consiste en una sola línea, según el tipo de archivo. Por ejemplo, para cada entrada de manifiesto en la salida anterior, el tipo F especifica un archivo y el tipo D especifica un directorio. También se muestra información sobre el tamaño, el contenido, el ID de usuario, el ID de grupo y los permisos. Las entradas de archivos en la salida se ordenan por versiones codificadas de los nombres de archivos, a fin de manejar correctamente los caracteres especiales. Todas las entradas se ordenan de manera ascendente por nombre de archivo. En todos los nombres de archivos no estándar, como los que contienen caracteres de tabulación o de línea nueva incrustados, los caracteres no estándar se escriben entre comillas antes de ordenar las entradas.

Las líneas que empiezan por ! proporcionan metadatos sobre el manifiesto. La línea de versión del manifiesto indica la versión de especificación del manifiesto. La línea hash indica el mecanismo hash que se utilizó. La línea de fecha muestra la fecha en la que se creó el manifiesto, en formato de fecha. Consulte la página del comando man date(1). La herramienta de comparación de manifiestos ignora algunas líneas. Las líneas ignoradas incluyen líneas en blanco, líneas que contienen sólo espacios en blanco y comentarios que empiezan por #.

Cómo personalizar un manifiesto

Puede personalizar un manifiesto de una de las siguientes formas:

• Especificando un subárbol

  Crear un manifiesto para un subárbol individual de un sistema es una forma eficaz de supervisar cambios en archivos específicos, en lugar de todo el contenido de un directorio grande. Puede crear un manifiesto de punto de partida de un subárbol específico del sistema y, luego, crear periódicamente manifiestos de prueba del mismo subárbol. Utilice el comando bart compare para comparar el manifiesto de control con el manifiesto de prueba. Al utilizar esta opción, puede supervisar eficazmente sistemas de archivos importantes para determinar si algún archivo se vio comprometido por un intruso.

• Especificando un nombre de archivo

  Dado que la creación de un manifiesto que cataloga todo el sistema requiere más tiempo, ocupa más espacio y es más costosa, posiblemente elija utilizar esta opción del comando bart cuando sólo desee mostrar información sobre un archivo o sobre archivos específicos de un sistema.

• Mediante un archivo de reglas

  Puede utilizar un archivo de reglas para crear manifiestos personalizados que muestren información sobre archivos específicos y subárboles específicos de un sistema determinado. También puede utilizar un archivo de reglas para supervisar atributos de archivos específicos. Usar un archivo de reglas para crear y comparar manifiestos le ofrece flexibilidad para especificar varios atributos para más de un archivo o subárbol. Mientras que, desde la línea de comandos, sólo puede especificar una definición global de atributos que se aplica a todos los archivos para cada manifiesto que cree o cada informe que genere.

Antes de empezar

Debe tener el rol root.

1. Determine los archivos que desea catalogar y supervisar.
2. Después de instalar el software Oracle Solaris, cree un manifiesto personalizado mediante una de las siguientes opciones:

   • Especificando un subárbol:

     # bart create -R root-directory

   • Especificando un nombre de archivo o nombres de archivos:

     # bart create -I filename...

     Por ejemplo:

     # bart create -I /etc/system /etc/passwd /etc/shadow

   • Mediante un archivo de reglas:

     # bart create -r rules-file

3. Examine el contenido del manifiesto.
4. Guarde el manifiesto para uso futuro.

Cómo comparar manifiestos para el mismo sistema a lo largo del tiempo

Utilice este procedimiento si desea supervisar cambios en el nivel de archivo realizados en el mismo sistema a lo largo del tiempo. Este tipo de manifiesto puede ayudar a encontrar archivos dañados o poco comunes, detectar infracciones de seguridad o solucionar problemas de rendimiento en un sistema.

Antes de empezar

Para crear y comparar manifiestos que incluyen objetos públicos, debe tener el rol root.

1. Después de instalar el software Oracle Solaris, cree un manifiesto de control de los archivos que desea supervisar en el sistema.

   # bart create -R /etc > control-manifest

2. Cree un manifiesto de prueba que esté preparado de manera idéntica al manifiesto de control cada vez que desee supervisar cambios realizados en el sistema.

   # bart create -R /etc > test-manifest

3. Compare el manifiesto de control con el manifiesto de prueba.

   # bart compare options control-manifest test-manifest > bart-report

   -r

   Nombre del archivo de reglas para esta comparación. Cuando la opción -r se utiliza con –, las directivas se leen desde la entrada estándar.

   -i

   Permite que el usuario defina directivas IGNORE globales de la línea de comandos.

   -p

   Modo programático que genera una salida estándar no localizada para el análisis programático.

   manifiesto_control

   Salida del comando bart create para el sistema de control.

   manifiesto_prueba

   Salida del comando bart create del sistema de prueba.

4. Examine el informe de BART para encontrar rarezas.

Ejemplo 6-2 Comparación de manifiestos para el mismo sistema a lo largo del tiempo

En este ejemplo, se muestra cómo supervisar los cambios que se produjeron en el directorio /etc entre dos puntos en el tiempo. Este tipo de comparación permite determinar rápidamente si hay archivos importantes del sistema que se vieron comprometidos.

• Cree un manifiesto de control.

  # bart create -R /etc > system1.control.090711
  ! Version 1.1
  ! HASH SHA256
  ! Wednesday, September 07, 2011 (11:11:17)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
  ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
  onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
  ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
  4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
  /.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x
  attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize
  :allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev
  eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 
  4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e
  .
  .
  .

• Cree un manifiesto de prueba cuando desee supervisar cambios realizados en el directorio /etc.

  # bart create -R /etc > system1.test.101011
  Version 1.1
  ! HASH SHA256
  ! Monday, October 10, 2011 (10:10:17)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
  ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
  onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
  ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
  4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
  .
  .
  .

• Compare el manifiesto de control con el manifiesto de prueba.

  # bart compare system1.control.090711 system1.test.101011 
  /security/audit_class 
  mtime  4f272f59

La salida anterior indica que la hora de modificación del archivo audit_class ha cambiado desde la creación del manifiesto de control. Este informe se puede utilizar para investigar si la propiedad, la fecha, el contenido o cualquier otro atributo del archivo han cambiado. Contar con este tipo de información fácilmente disponible puede ayudarlo a averiguar quién podría haber alterado el archivo y cuándo se podría haber producido el cambio.

Cómo comparar manifiestos de diferentes sistemas

Puede ejecutar comparaciones entre sistemas, lo cual le permite determinar rápidamente si existen diferencias en el nivel de archivo entre un sistema de punto de partida y los otros sistemas. Por ejemplo, si ha instalado una versión determinada del software Oracle Solaris en un sistema de punto de partida y desea saber si hay otros sistemas que tengan paquetes idénticos instalados, puede crear manifiestos para esos sistemas y, luego, comparar los manifiestos de prueba con el manifiesto de control. Este tipo de comparación muestra las discrepancias existentes en el contenido del archivo para cada sistema de prueba que se compare con el sistema de control.

Antes de empezar

Para comparar manifiestos del sistema, debe tener el rol root.

1. Después de instalar el software Oracle Solaris, cree un manifiesto de control.

   # bart create options > control-manifest

2. Guarde el manifiesto de control.
3. En el sistema de prueba, utilice las mismas opciones de bart para crear un manifiesto y redirija la salida a un archivo.

   # bart create options > test1-manifest

   Elija un nombre significativo y único para el manifiesto de prueba.

4. Guarde el manifiesto de prueba en una ubicación central en el sistema hasta que esté preparado para comparar manifiestos.
5. Si desea comparar manifiestos, copie el manifiesto de control en la ubicación del manifiesto de prueba. O bien, copie el manifiesto de prueba al sistema de control.

   Por ejemplo:

   # cp manifiesto_control/red/servidor_prueba/bart/manifiestos

   Si el sistema de prueba no es un sistema montado en NFS, use FTP o algún otro medio confiable para copiar el manifiesto de control al sistema de prueba.

6. Compare el manifiesto de control con el manifiesto de prueba y redirija la salida a un archivo.

   # bart compare control-manifest test1-manifest > test1.report

7. Examine el informe de BART para encontrar rarezas.
8. Repita los pasos 4 a 9 para cada manifiesto de prueba que desee comparar con el manifiesto de control.

   Use las mismas opciones de bart para cada sistema de prueba.

Ejemplo 6-3 Comparación de manifiestos de diferentes sistemas con el manifiesto de un sistema de control

En este ejemplo, se describe cómo supervisar los cambios en el contenido del directorio /usr/bin comparando un manifiesto de control con un manifiesto de prueba de un sistema diferente.

• Cree un manifiesto de control.

  # bart create -R /usr/bin > control-manifest.090711
  ! Version 1.1
  ! HASH SHA256
  ! Wednesday, September 07, 2011 (11:11:17)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /2to3 F 105 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribut
  es/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:read
  _data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:re
  ad_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4bf9d261 0
   2 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334
  /7z F 509220 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribu
  tes/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:rea
  d_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:r
  ead_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4dadc48a 0
   2 3ecd418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
  ...

• Cree un manifiesto de prueba para cada sistema que desee comparar con el sistema de control.

  # bart create -R /usr/bin > system2-manifest.101011
  ! Version 1.1
  ! HASH SHA256
  ! Monday, October 10, 2011 (10:10:22)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /2to3 F 105 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribut
  es/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:read
  _data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:re
  ad_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4bf9d261 0
   2 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334
  ...

• Si desea comparar manifiestos, copie los manifiestos en la misma ubicación.

  # cp control-manifest /net/system2.central/bart/manifests

• Compare el manifiesto de control con el manifiesto de prueba.

  # bart compare control-manifest system2.test > system2.report
  /su:
    gid  control:3  test:1
  /ypcat:
    mtime  control:3fd72511  test:3fd9eb23

La salida anterior indica que el ID de grupo del archivo su en el directorio /usr/bin no es el mismo que el del sistema de control. Esta información puede ser útil para determinar si se instaló en el sistema de prueba una versión diferente del software o si es posible que alguien haya alterado el archivo.

Cómo personalizar un informe de BART especificando atributos de archivos

Este procedimiento es opcional y explica cómo personalizar un informe de BART especificando atributos de archivos de la línea de comandos. Si crea un manifiesto de punto de partida que muestra información sobre todos los archivos o sobre archivos específicos del sistema, puede ejecutar el comando bart compare y especificar atributos diferentes cada vez que necesite supervisar los cambios realizados en un directorio, un subdirectorio o en archivos determinados. Puede ejecutar distintos tipos de comparaciones para los mismos manifiestos especificando atributos de archivos diferentes de la línea de comandos.

Antes de empezar

Debe tener el rol root.

1. Determine qué atributos de archivos desea supervisar.
2. Después de instalar el software Oracle Solaris, cree un manifiesto de control.
3. Cree un manifiesto de prueba cuando desee supervisar cambios.

   Prepare el manifiesto de prueba de manera idéntica al manifiesto de control.

4. Compare los manifiestos.

   Por ejemplo:

   # bart compare -i dirmtime,lnmtime,mtime control-manifest.121503 \
   test-manifest.010504 > bart.report.010504

   Tenga en cuenta que una coma separa cada atributo que especifique en la sintaxis de la línea de comandos.

5. Examine el informe de BART para encontrar rarezas.

Cómo personalizar un informe de BART mediante un archivo de reglas

Este procedimiento también es opcional y explica cómo personalizar un informe de BART mediante un archivo de reglas como entrada para el comando bart compare. Mediante un archivo de reglas, puede personalizar un informe de BART, lo cual le ofrece flexibilidad para especificar varios atributos para más de un archivo o subárbol. Puede ejecutar distintas comparaciones para los mismos manifiestos mediante archivos de reglas diferentes.

Antes de empezar

Debe tener el rol root.

1. Determine qué archivos y atributos de archivos desea supervisar.
2. Use un editor de texto para crear un archivo de reglas con las directivas adecuadas.
3. Después de instalar el software Oracle Solaris, cree un manifiesto de control mediante el archivo de reglas que ha creado.

   # bart create -r rules-file > control-manifest

4. Cree un manifiesto de prueba que esté preparado de manera idéntica al manifiesto de control.

   # bart create -r rules-file > test-manifest

5. Compare el manifiesto de control con el manifiesto de prueba usando el mismo archivo de reglas.

   # bart compare -r rules-file control-manifest test-manifest > bart.report

6. Examine el informe de BART para encontrar rarezas.

Ejemplo 6-4 Personalización de un informe de BART mediante un archivo de reglas

El siguiente archivo de reglas incluye directivas para los comandos bart create y bart compare. El archivo de reglas le indica al comando bart create que muestre información sobre el contenido del directorio /usr/bin. Además, el archivo de reglas le indica al comando bart compare que sólo realice un seguimiento de los cambios de tamaño y contenido en el mismo directorio.

# Check size and content changes in the /usr/bin directory.
# This rules file only checks size and content changes.
# See rules file example.

IGNORE all
CHECK size contents
/usr/bin

• Cree un manifiesto de control mediante el archivo de reglas que ha creado.

  # bart create -r bartrules.txt > usr_bin.control-manifest.121003

• Cree un manifiesto de prueba cada vez que desee supervisar cambios realizados en el directorio /usr/bin.

  # bart create -r bartrules.txt > usr_bin.test-manifest.121103

• Compare los manifiestos utilizando el mismo archivo de reglas.

  # bart compare -r bartrules.txt usr_bin.control-manifest \
  usr_bin.test-manifest

• Examine la salida del comando bart compare.

   /usr/bin/gunzip:  add
  /usr/bin/ypcat:
    delete

En la salida anterior, el comando bart compare informó una discrepancia en el directorio /usr/bin. Esta salida indica que se eliminó el archivo /usr/bin/ypcat y se agregó el archivo /usr/bin/gunzip.