Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
28. Gestión de auditoría (tareas)
Configuración del servicio de auditoría (tareas)
Configuración del servicio de auditoría (mapa de tareas)
Cómo visualizar los valores predeterminados del servicio de auditoría
Cómo preseleccionar clases de auditoría
Cómo configurar las características de auditoría de un usuario
Cómo cambiar la política de auditoría
Cómo cambiar controles de colas de auditoría
Cómo configurar el alias de correo electrónico audit_warn
Cómo agregar una clase de auditoría
Cómo cambiar una pertenencia a clase de un evento de auditoría
Configuración de registros de auditoría (tareas)
Configuración de registros de auditoría (mapa de tareas)
Cómo crear sistemas de archivos ZFS para archivos de auditoría
Cómo asignar espacio de auditoría para la pista de auditoría
Cómo enviar archivos de auditoría a un repositorio remoto
Cómo configurar un repositorio remoto para los archivos de auditoría
Cómo configurar registros de auditoría syslog
Configuración del servicio de auditoría en las zonas (tareas)
Cómo configurar todas las zonas de forma idéntica para la auditoría
Cómo configurar la auditoría por zona
Activación y desactivación del servicio de auditoría (tareas)
Cómo refrescar el servicio de auditoría
Cómo desactivar el servicio de auditoría
Cómo activar el servicio de auditoría
Gestión de registros de auditoría en sistemas locales (tareas)
Gestión de registros de auditoría en sistemas locales (mapa de tareas)
Cómo visualizar definiciones de registros de auditoría
Cómo fusionar archivos de auditoría de la pista de auditoría
Cómo seleccionar eventos de auditoría de la pista de auditoría
Cómo visualizar el contenido de los archivos de auditoría binarios
Solución de problemas del servicio de auditoría (tareas)
Solución de problemas del servicio de auditoría (mapa de tareas)
Cómo determinar que la auditoría se está ejecutando
Cómo reducir el volumen de los registros de auditoría que se producen
Cómo auditar todos los comandos por usuarios
Cómo buscar registros de auditoría de los cambios realizados en archivos específicos
Cómo actualizar la máscara de preselección de usuarios con sesión iniciada
Cómo evitar la auditoría de eventos específicos
Cómo limitar el tamaño de los archivos de auditoría binarios
Cómo comprimir archivos de auditoría en un sistema de archivos dedicado
Cómo auditar inicios de sesión de otros sistemas operativos
El complemento predeterminado, audit_binfile, crea una pista de auditoría. La pista puede contener grandes cantidades de datos. Las siguientes tareas muestran cómo trabajar con todos estos datos.
El siguiente mapa de tareas hace referencia a los procedimientos para seleccionar, analizar y gestionar los registros de auditoría.
|
El comando auditrecord muestra definiciones de registros de auditoría. Las definiciones indican el número de evento de auditoría, la clase de auditoría, la máscara de selección y el formato de registro de un evento de auditoría.
La opción -a muestra una lista de todas las definiciones de eventos de auditoría. La opción -h coloca la lista en formato HTML.
% auditrecord -ah > audit.events.html
Consejo - Cuando visualiza el archivo HTML en un explorador, use la herramienta de búsqueda del explorador para buscar definiciones de registros de auditoría específicas.
Para obtener más información, consulte la página del comando man auditrecord(1M).
Ejemplo 28-27 Visualización de las definiciones de registros de auditoría de un programa
En este ejemplo, se muestra la definición de todos los registros de auditoría que se generan mediante el programa login. Los programas de inicio de sesión incluyen rlogin, telnet, newgrp y la función de Secure Shell de Oracle Solaris.
% auditrecord -p login ... login: logout program various See login(1) event ID 6153 AUE_logout class lo (0x0000000000001000) ... newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login class lo (0x0000000000001000) ... rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x0000000000001000) ... /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh class lo (0x0000000000001000) ... telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet class lo (0x0000000000001000) …
Ejemplo 28-28 Visualización de definiciones de registros de auditoría de una clase de auditoría
En este ejemplo, se muestran las definiciones de todos los registros de auditoría en la clase pf que fue creada en el Ejemplo 28-10.
% auditrecord -c pf pfexec system call pfexec See execve(2) with pfexec enabled event ID 116 AUE_PFEXEC class pf (0x0100000000000000) header path pathname of the executable path pathname of working directory [privileges] privileges if the limit or inheritable set are changed [privileges] privileges if the limit or inheritable set are changed [process] process if ruid, euid, rgid or egid is changed exec_arguments [exec_environment] output if arge policy is set subject [use_of_privilege] return
El token use_of_privilege se registra siempre que se utiliza un privilegio. Los tokens privileges se registran si el conjunto heredable o límite se cambia. El token process se registra si un ID se cambia. Ninguna opción de política es necesaria para que estos tokens se incluyan en el registro.
Mediante la fusión de los archivos de auditoría de todos los directorios de auditoría, puede analizar el contenido de toda la pista de auditoría.
Nota - Debido a que las indicaciones de hora en la pista de auditoría están en la hora universal coordinada (UTC), la fecha y la hora se deben traducir a la zona horaria actual para que tengan sentido. Tenga en cuenta este punto siempre que manipule estos archivos con los comandos de archivo estándar en lugar de utilizar el comando auditreduce.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Para reducir la posibilidad de que se alcance el límite de espacio en disco, este sistema de archivos debe estar en otra zpool de los sistemas de archivos que creó en Cómo crear sistemas de archivos ZFS para archivos de auditoría para almacenar los archivos originales.
Vaya al directorio para almacenar archivos de auditoría fusionados. Desde este directorio, fusione los registros de auditoría en un archivo con un sufijo con nombre. Todos los directorios de la pista de auditoría en el sistema local se fusionan y se almacenan en este directorio.
# cd audit-storage-directory # auditreduce -Uppercase-option -O suffix
Las opciones en mayúscula del comando auditreduce manipulan los archivos en la pista de auditoría. Las opciones en mayúscula incluyen las siguientes:
Selecciona todos los archivos en la pista de auditoría.
Selecciona únicamente archivos completos.
Selecciona los archivos con un sufijo determinado. El sufijo puede ser un nombre de máquina o puede ser un sufijo que haya especificado para un archivo de resumen.
Crea un archivo de auditoría con indicaciones de hora de 14 caracteres para la hora de inicio y la hora de finalización, con el sufijo suffix en el directorio actual.
Especifica la lectura de archivos de auditoría en pathname, un directorio raíz de auditoría alternativo.
Especifica la lectura de archivos de auditoría del servidor especificado.
Para obtener la lista completa de opciones, consulte la página del comando man auditreduce(1M).
Ejemplo 28-29 Copia de archivos de auditoría a un archivo de resumen
En el ejemplo siguiente, un administrador que tiene asignado el perfil de derechos de administrador del sistema copia todos los archivos de la pista de auditoría en un archivo fusionado, en un sistema de archivos diferente. El sistema de archivos /var/audit/storage está en un disco separado del sistema de archivos /var/audit, el sistema de archivos raíz de auditoría.
$ cd /var/audit/storage $ auditreduce -A -O All $ ls /var/audit/storage/*All 20100827183214.20100827215318.All
En el siguiente ejemplo, sólo los archivos completos se copian de la pista de auditoría a un archivo fusionado. La ruta completa se especifica como el valor de la opción -0. El último elemento de la ruta, Complete, se utiliza como el sufijo.
$ auditreduce -C -O /var/audit/storage/Complete $ ls /var/audit/storage/*Complete 20100827183214.20100827214217.Complete
En el siguiente ejemplo, si agrega la opción -D, se suprimen los archivos de auditoría originales.
$ auditreduce -C -O daily_sys1.1 -D sys1.1 $ ls *sys1.1 20100827183214.20100827214217.daily_sys1.1
Puede filtrar registros de auditoría para examinarlos. Para obtener una lista completa de las opciones de filtrado, consulte la página del comando man auditreduce(1M).
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
auditreduce -lowercase-option argument [optional-file]
Argumento específico que requiere una opción en minúscula. Por ejemplo, la opción -c requiere un argument de una clase de auditoría, como ua.
Selecciona todos los eventos en una fecha determinada. El formato de fecha de argument es aaammdd. Otras opciones de fecha, -b y -a, seleccionan los eventos antes y después de una fecha determinada.
Selecciona todos los eventos atribuibles a un usuario determinado. argument es un nombre de usuario. Otra opción de usuario, -e, selecciona todos los eventos atribuibles a un ID de usuario vigente.
Selecciona todos los eventos de una clase de auditoría preseleccionada. argument es un nombre de clase de auditoría
Selecciona todas las instancias de un evento de auditoría determinado. argument es un evento de auditoría.
Selecciona por tipo de objeto. Utilice esta opción para seleccionar por archivo, grupo, responsable de archivo, FMRI, pid y otros tipos de objetos.
Nombre de un archivo de auditoría.
Para obtener la lista completa de opciones, consulte la página del comando man auditreduce(1M).
Ejemplo 28-30 Combinación y reducción de archivos de auditoría
El comando auditreduce puede eliminar los registros menos interesantes a medida que combina los archivos de entrada. Por ejemplo, puede utilizar el comando auditreduce para retener únicamente los registros de inicio y cierre de sesión en los archivos de auditoría de más de un mes. Si necesita recuperar la pista de auditoría completa, puede recuperar la pista del medio de copia de seguridad.
# cd /var/audit/audit_summary # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary
Ejemplo 28-31 Copia de los registros de auditoría de un usuario en un archivo de resumen
En este ejemplo, se fusionan los registros en la pista de auditoría que contienen el nombre de un usuario determinado. La opción -e busca el usuario vigente. La opción -u busca el usuario de inicio de sesión.
$ cd /var/audit/audit_summary $ auditreduce -e tamiko -O tamiko
Puede buscar eventos específicos en este archivo. En el siguiente ejemplo, se verifica la hora en que el usuario inició y cerró sesión el 7 de septiembre de 2010, hora local. Sólo se verifican los archivos con el nombre del usuario como sufijo de archivo. La abreviatura de la fecha es aaaammdd.
# auditreduce -M tamiko -O tamikolo -d 20100907 -u tamiko -c lo
Ejemplo 28-32 Copia de registros seleccionados en un archivo único
En este ejemplo, los registros de inicio y cierre de sesión de un día determinado se seleccionan de la pista de auditoría. Los registros se fusionan en un archivo de destino. El archivo de destino se escribe en un sistema de archivos que no sea el sistema de archivos que contiene el directorio raíz de auditoría.
# auditreduce -c lo -d 20100827 -O /var/audit/audit_summary/logins # ls /var/audit/audit_summary/*logins /var/audit/audit_summary/20100827183936.20100827232326.logins
El comando praudit permite ver los contenidos de los archivos de auditoría binarios. Puede redireccionar la salida del comando auditreduce o puede leer un archivo de auditoría determinado. La opción -x es útil para el procesamiento posterior.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Los siguientes ejemplos muestran la salida de praudit para el mismo evento de auditoría. Las políticas de auditoría se configuraron para incluir el token sequence.
El comando praudit -s muestra los registros de auditoría en formato corto, un token por línea. Utilice la opción -l para colocar cada registro en una línea.
$ auditreduce -c lo | praudit -s header,69,2,AUE_screenlock,,mach1,2010-10-14 08:02:56.348 -07:00 subject,jdoe,root,staff,jdoe,staff,856,50036632,82 0 mach1 return,success,0 sequence,1298
El comando praudit -r muestra los registros de auditoría en su formato básico, un token por línea. Utilice la opción -l para colocar cada registro en una línea.
$ auditreduce -c lo | praudit -r 21,69,2,6222,0x0000,10.132.136.45,1287070091,698391050 36,26700,0,10,26700,10,856,50036632,82 0 10.132.136.45 39,0,0 47,1298
El comando praudit -x muestra los registros de auditoría en formato XML, un token por línea. Utilice la opción -l para colocar la salida XML para un registro en una línea. La siguiente lista se divide en dos líneas de salida para entrar en esta página impresa:
$ auditreduce -c lo | praudit -x <record version="2" event="screenlock - unlock" host="mach1" iso8601="2010-10-14 08:28:11.698 -07:00"> <subject audit-uid="jdoe" uid="root" gid="staff" ruid="jdoe rgid="staff" pid="856" sid="50036632" tid="82 0 mach1"/> <return errval="success" retval="0"/> <sequence seq-num="1298"/> </record>
Ejemplo 28-33 Impresión de toda la pista de auditoría
Con una conducción al comando de impresión, la salida de toda la pista de auditoría pasa a la impresora. Por motivos de seguridad, la impresora tiene acceso limitado.
# auditreduce | praudit | lp -d example.protected.printer
Ejemplo 28-34 Visualización de un archivo de auditoría específico
En este ejemplo, se examina un archivo de inicio de sesión de resumen en la ventana de terminal.
# cd /var/audit/audit_summary/logins # praudit 20100827183936.20100827232326.logins | more
Ejemplo 28-35 Paso de registros de auditoría a formato XML
En este ejemplo, los registros de auditoría se convierten a formato XML.
# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml
El archivo XML se puede visualizar en un explorador. El contenido del archivo sólo puede ser operado por una secuencia de comandos para extraer la información relevante.
Ejemplo 28-36 Procesamiento de la salida de praudit con una secuencia de comandos
Es posible que quiera procesar la salida del comando praudit como líneas de texto. Por ejemplo, es posible que quiera seleccionar registros que el comando auditreduce no puede seleccionar. Puede utilizar una secuencia de comandos de shell sencilla para procesar la salida del comando praudit. La siguiente secuencia de comandos de ejemplo coloca un registro de auditoría en una línea, busca una cadena especificada por el usuario y devuelve el archivo de auditoría a su forma original.
#!/bin/sh # ## This script takes an argument of a user-specified string. # The sed command prefixes the header tokens with Control-A # The first tr command puts the audit tokens for one record # onto one line while preserving the line breaks as Control-A # praudit | sed -e '1,2d' -e '$s/^file.*$//' -e 's/^header/^aheader/' \\ | tr '\\012\\001' '\\002\\012' \\ | grep "$1" \\ Finds the user-specified string | tr '\\002' '\\012' Restores the original newline breaks
Tenga en cuenta que ^a en la secuencia de comandos equivale a Control-A, no los dos caracteres ^ y a. El prefijo distingue el token header de la cadena header que podría aparecer como texto.
Errores más frecuentes
Un mensaje similar al siguiente indica que no tiene privilegios suficientes para usar el comando praudit:
praudit: Can't assign 20090408164827.20090408171614.sys1.1 to stdin.
Ejecute el comando praudit un shell de perfil. Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Cuando se producen interrupciones anómalas del sistema, el servicio de auditoría se cierra mientras su archivo de auditoría aún está abierto. O bien un sistema de archivos se vuelve inaccesible y hace que el sistema cambie a un nuevo sistema de archivos. En esos casos, un archivo de auditoría permanece con la cadena not_terminated como indicación de hora final, aunque el archivo ya no se utilice para los registros de auditoría. Utilice el comando auditreduce -O para otorgar al archivo la indicación de hora correcta.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
# ls -R1t audit-directory*/* | grep not_terminated
Muestra los archivos en los subdirectorios.
Muestra la lista de archivos desde el más reciente hasta el más antiguo.
Muestra los archivos en una columna.
Especifique el nombre del archivo anterior en el comando auditreduce -O.
# auditreduce -O system-name old-not-terminated-file
# rm system-name old-not-terminated-file
Ejemplo 28-37 Depuración de archivos de auditoría not_terminated cerrados
En el siguiente ejemplo, se encontraron archivos not_terminated, se renombraron y se eliminaron los originales.
ls -R1t */* | grep not_terminated …/egret.1/20100908162220.not_terminated.egret …/egret.1/20100827215359.not_terminated.egret # cd */egret.1 # auditreduce -O egret 20100908162220.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned up audit file 20100827215359.not_terminated.egret Input (old) audit file # rm 20100827215359.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned up audit file
La indicación de hora de inicio en el nuevo archivo refleja la hora del primer evento de auditoría en el archivo not_terminated. La indicación de hora final refleja la hora del último evento de auditoría en el archivo.
Si la política de seguridad requiere que todos los datos de auditoría se guarden, evite la pérdida de registros de auditoría.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Utilice el atributo p_minfree.
El alias de correo electrónico audit_warn envía una advertencia cuando el espacio en disco llega al tamaño libre mínimo. Consulte el Ejemplo 28-17.
Almacene los archivos de auditoría mediante una copia de los archivos en los medios sin conexión. También puede mover los archivos a un sistema de archivos de almacenamiento.
Si recopila registros de auditoría de texto con la utilidad syslog, archive los registros de texto. Para más información, consulte la página del comando man logadm(1M).
Archive la información que sea necesaria para interpretar los registros de auditoría junto con la pista de auditoría. Como mínimo, guarde los archivos passwd, group, y hosts. También podría archivar los archivos audit_event y audit_class.
En un sistema de archivos ZFS que está dedicado a archivos de auditoría, la compresión reduce los archivos considerablemente. Para ver un ejemplo, consulte Cómo comprimir archivos de auditoría en un sistema de archivos dedicado.
Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
Puede extraer archivos de resumen de la pista de auditoría mediante las opciones en el comando auditreduce. Los archivos de resumen contienen únicamente registros para tipos especificados de eventos de auditoría. Para extraer archivos de resumen, consulte el Ejemplo 28-30 y el Ejemplo 28-32.