Solución de problemas del servicio de auditoría (tareas)

En esta sección, se tratan distintos mensajes de error de auditoría, las preferencias y la auditoría proporcionada por otras herramientas. Estos procedimientos pueden ayudar a registrar eventos de auditoría necesarios y a depurar problemas de auditoría.

Solución de problemas del servicio de auditoría (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos para la resolución de problemas de auditoría.

Problema	Solución	Para obtener instrucciones
¿Por qué los registros de auditoría no se registran cuando tengo configurada la auditoría?	Solucione problemas del servicio de auditoría.	Cómo determinar que la auditoría se está ejecutando
¿Cómo puedo reducir la cantidad de información sobre auditoría que se está recopilando?	Audite sólo los eventos que desea auditar.	Cómo reducir el volumen de los registros de auditoría que se producen
¿Cómo puedo auditar todo lo que un usuario hace en el sistema?	Audite uno o más usuarios para cada comando.	Cómo auditar todos los comandos por usuarios
¿Cómo puedo cambiar los eventos de auditoría que se graban y hacer que el cambio afecte las sesiones existentes?	Actualice la máscara de preselección de un usuario.	Cómo actualizar la máscara de preselección de usuarios con sesión iniciada
¿Cómo puedo localizar modificaciones en archivos determinados?	Audite las modificaciones en los archivos y, luego, use el comando `auditreduce` para encontrar archivos determinados.	Cómo buscar registros de auditoría de los cambios realizados en archivos específicos
¿Cómo puedo reducir el tamaño de mis archivos de auditoría?	Limite el tamaño del archivo de auditoría binario.	Cómo limitar el tamaño de los archivos de auditoría binarios
¿Cómo puedo utilizar menos espacio en el sistema de archivos para los archivos de auditoría?	Utilice las cuotas y la compresión ZFS.	Cómo comprimir archivos de auditoría en un sistema de archivos dedicado
¿Cómo puedo eliminar eventos de auditoría del archivo `audit_event`?	Actualice correctamente el archivo `audit_event`.	Cómo evitar la auditoría de eventos específicos
¿Cómo puedo auditar todos los inicios de sesión a un sistema Oracle Solaris?	Audite los inicios de sesión de cualquier sistema.	Cómo auditar inicios de sesión de otros sistemas operativos
¿Por qué no se mantienen los registros de auditoría de mis transferencias de FTP?	Utilice la herramienta de auditoría adecuada para las utilidades que generan sus propios registros.	Cómo auditar transferencias de archivos FTP y SFTP

Cómo determinar que la auditoría se está ejecutando

La auditoría está activada de manera predeterminada. Si cree que la auditoría no se ha desactivado, pero los registros de auditoría no se están enviando al complemento activo, utilice el siguiente procedimiento para aislar el problema.

Antes de empezar

Para modificar un sistema de archivos, debe tener asignada la autorización solaris.admin.edit/ path-to-system-file. De manera predeterminada, el rol root tiene esta autorización. Para configurar la auditoría, debe convertirse en administrador con el perfil de derechos de configuración de auditoría asignado.

Determine que la auditoría se esté ejecutando.

Utilice cualquiera de los métodos siguientes:

Compruebe la condición actual de la auditoría.
La siguiente lista indica que la auditoría no se está ejecutando:
```
# auditconfig -getcond
audit condition = noaudit
```
La siguiente lista indica que la auditoría se está ejecutando:
```
# auditconfig -getcond
audit condition = auditing
```

Compruebe que el servicio de auditoría se esté ejecutando.

La siguiente lista indica que la auditoría no se está ejecutando:

# svcs -x auditd
svc:/system/auditd:default (Solaris audit daemon)
 State: disabled since Sun Oct 10 10:10:10 2010
Reason: Disabled by an administrator.
   See: http://support.oracle.com/msg/SMF-8000-05
   See: auditd(1M)
   See: audit(1M)
   See: auditconfig(1M)
   See: audit_flags(5)
   See: audit_binfile(5)
   See: audit_syslog(5)
   See: audit_remote(5)
   See: /var/svc/log/system-auditd:default.log
Impact: This service is not running.

La siguiente lista indica que el servicio de auditoría se está ejecutando:

# svcs auditd
STATE          STIME    FMRI
online         10:10:10 svc:/system/auditd:default

Si el servicio de auditoría no se está ejecutando, actívelo. Para conocer el procedimiento, consulte Cómo activar el servicio de auditoría.

Verifique que, al menos, un complemento esté activo.

# audit -v
audit: no active plugin found

Si no hay ningún complemento activo, active uno.

# auditconfig -setplugin audit_binfile active
# audit -v
configuration ok

Si crea una clase de auditoría personalizada, compruebe que haya asignado eventos a la clase.
Por ejemplo, la siguiente lista de indicadores contiene la clase pf, que el software Oracle Solaris no entregó:
```
# auditconfig -getflags
active user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000)
configured user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000)
```
Para obtener una descripción de la creación de la clase pf, consulte Cómo agregar una clase de auditoría.
1. Compruebe que la clase esté definida en el archivo audit_class.
  La clase de auditoría debe estar definida, y su máscara debe ser única.
```
# grep pf /etc/security/audit_classVerify class exists
0x0100000000000000:pf:profile
# grep 0x0100000000000000 /etc/security/audit_classEnsure mask is unique
0x0100000000000000:pf:profile
```
  Reemplace una máscara que no sea única. Si la clase no está definida, defínala. De lo contrario, ejecute el comando auditconfig -setflags con los valores válidos para restablecer los indicadores actuales.
2. Compruebe que los eventos se hayan asignado a la clase.
  Utilice uno de los métodos siguientes:
```
# auditconfig -lsevent | egrep " pf|,pf|pf,"
AUE_PFEXEC      116 pf execve(2) with pfexec enabled
```
```
# auditrecord -c pf
List of audit events assigned to pf class
```
  Si los eventos no están asignados a la clase, asigne los eventos adecuados a esta clase.
Si los pasos anteriores no indicaban un problema, revise su correo electrónico y los archivos de registro.
1. Lea el correo electrónico enviado al alias audit_warn.
  La secuencia de comandos audit_warn envía mensajes de alerta al alias de correo electrónico audit_warn. Ante la ausencia de un alias configurado correctamente, los mensajes se envían a la cuenta root.
2. Revise los archivos de registro para el servicio de auditoría.
  La salida del comando svcs -s auditd muestra la ruta completa a los registros de auditoría que el servicio de auditoría produce. Para ver un ejemplo, consulte la lista en el Paso 1.
3. Revise los archivos de registro del sistema.
  La secuencia de comandos audit_warn escribe mensajes daemon.alert en el archivo /var/log/syslog.
  El archivo /var/adm/messages podría contener información.
Después de encontrar y corregir los problemas, active o reinicie el servicio de auditoría.
```
# audit -s
```

Cómo reducir el volumen de los registros de auditoría que se producen

Después de determinar qué eventos deben auditarse en su sitio, utilice las siguientes sugerencias para crear los archivos de auditoría sólo con la información necesaria.

Antes de empezar

Para preseleccionar clases de auditoría y definir la política de auditoría, debe tener asignado el perfil de derechos de configuración de auditoría. Para modificar un sistema de archivos, debe tener asignada la autorización solaris.admin.edit/ path-to-system-file. De manera predeterminada, el rol root tiene esta autorización. Para asignar indicadores de auditoría a usuarios, roles y perfiles de derechos, debe asumir el rol root.

Utilice la política de auditoría predeterminada.
En concreto, evite agregar eventos y tokens de auditoría a la pista de auditoría. Las siguientes políticas aumentan el tamaño de la pista de auditoría.
- Política arge: agrega variables de entorno a los eventos de auditoría execv. Si bien, auditar eventos execv puede ser muy costoso, agregar variables al registro de auditoría no es costoso.
- Política argv: agrega parámetros de comandos a los eventos de auditoría execv. Si bien, auditar eventos execv puede ser muy costoso, agregar parámetros de comandos al registro de auditoría no es costoso.
- Política public: si va a auditar eventos de archivos, agregue un evento a la pista de auditoría cada vez que ocurra un evento auditable en un objeto público. Las clases de archivos incluyen fa, fc , fd, fm, fr, fw y cl. Para la definición de un archivo público, consulte Conceptos y terminología de auditoría.
- Política path: agrega un token path a los eventos de auditoría que incluyen un token path opcional.
- Política group: agrega un token de grupo a los eventos de auditoría que incluyen un token newgroups opcional.
- Política seq: agrega un token de secuencia a cada evento de auditoría.
- Política trail: agrega un token de ubicador a cada evento de auditoría.
- Política windata_down: en un sistema configurado con Trusted Extensions, agrega eventos cuando se disminuye el nivel de la información en una ventana con etiqueta.
- Política windata_down: en un sistema configurado con Trusted Extensions, agrega eventos cuando se aumenta el nivel de la información en una ventana con etiqueta.
- Política zonename: agrega el nombre de zona a cada evento de auditoría. Si la zona global es la única zona configurada, agrega la cadena zone, global a cada evento de auditoría.
El siguiente registro de auditoría muestra el uso del comando ls. La clase ex se está auditando y la política predeterminada está en uso:
```
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1
return,success,0
```
A continuación, se muestra el mismo registro cuando se activan todas las políticas:
```
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
exec_args,2,ls,/etc/security
exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit,
  LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2,
  HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl,
...
path,/lib/ld.so.1
attribute,100755,root,bin,21,393073,18446744073709551615
subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1
group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon
return,success,0
zone,global
sequence,197
trailer,1578
```
Utilice el complemento audit_syslog para enviar algunos eventos de auditoría a syslog.
Y no envíe dichos eventos de auditoría al complemento audit_binfile o audit_remote. Esta estrategia funciona sólo si no es necesario mantener registros binarios de los eventos de auditoría que envía a los registros syslog.
Defina menos indicadores de auditoría en todo el sistema y audite usuarios individuales.
Reduzca la cantidad de auditoría para todos los usuarios mediante la reducción del número de clases de auditoría que se auditan en todo el sistema.
Utilice la palabra clave audit_flags para los comandos roleadd, rolemod, useradd y usermod con el fin de auditar eventos de usuarios y roles específicos. Para ver ejemplos consulte el Ejemplo 28-21 y la página del comando man usermod(1M).
Utilice las propiedades always_audit y never_audit del comando profiles para auditar eventos de perfiles de derechos específicos. Para obtener información, consulte la página del comando man profiles(1).

Nota - Al igual que otros atributos de seguridad, los indicadores de auditoría son afectados por orden de búsqueda. Para obtener más información, consulte Orden de búsqueda para atributos de seguridad asignados.
Cree sus propias clases de auditoría personalizadas.
Puede crear clases de auditoría en el sitio. En estas clases, coloque sólo los eventos de auditoría que necesita supervisar. Para conocer el procedimiento, consulte Cómo agregar una clase de auditoría.

Nota - Para obtener información sobre los efectos de modificar un archivo de configuración de auditoría, consulte Archivos de configuración de auditoría y empaquetado.

Cómo auditar todos los comandos por usuarios

Como parte de la política de seguridad del sitio, algunos sitios requieren registros de auditoría de todos los comandos ejecutados por la cuenta root y los roles administrativos. Algunos sitios pueden requerir registros de auditoría de todos los comandos por todos los usuarios. Además, los sitios pueden requerir que los argumentos de los comandos y el entorno se registren.

Antes de empezar

Para preseleccionar clases de auditoría y definir la política de auditoría, debe tener convertirse en administrador con el perfil de derechos de configuración de auditoría asignado. Para asignar indicadores de auditoría a usuarios, roles y perfiles de derechos, debe asumir el rol root.

Audite las clases lo y ex.

La clase ex audita todas las llamadas a las funciones exec() y execve().

La clase lo audita los inicios de sesión, los cierres de sesión y los bloqueos de pantalla. La siguiente salida muestra todos los eventos de las clases ex y lo.

% auditconfig -lsevent | grep " lo "
AUE_login                       6152 lo login - local
AUE_logout                      6153 lo logout
AUE_telnet                      6154 lo login - telnet
AUE_rlogin                      6155 lo login - rlogin
AUE_rshd                        6158 lo rsh access
AUE_su                          6159 lo su
AUE_rexecd                      6162 lo rexecd
AUE_passwd                      6163 lo passwd
AUE_rexd                        6164 lo rexd
AUE_ftpd                        6165 lo ftp access
AUE_ftpd_logout                 6171 lo ftp logout
AUE_ssh                         6172 lo login - ssh
AUE_role_login                  6173 lo role login
AUE_newgrp_login                6212 lo newgrp login
AUE_admin_authenticate          6213 lo admin login
AUE_screenlock                  6221 lo screenlock - lock
AUE_screenunlock                6222 lo screenlock - unlock
AUE_zlogin                      6227 lo login - zlogin
AUE_su_logout                   6228 lo su logout
AUE_role_logout                 6229 lo role logout
AUE_smbd_session                6244 lo smbd(1m) session setup
AUE_smbd_logoff                 6245 lo smbd(1m) session logoff
AUE_ClientConnect               9101 lo client connection to x server
AUE_ClientDisconnect            9102 lo client disconn. from x server
% auditconfig -lsevent | egrep " ex |,ex |ex,"
AUE_EXECVE                        23 ex,ps execve(2)

Para auditar los roles administrativos de estas clases, modifique los atributos de seguridad de los roles.
En el siguiente ejemplo, root es un rol. El sitio ha creado tres roles: sysadm, auditadm y netadm. Todos los roles se auditan para determinar el éxito y el fallo de eventos en las clases ex y lo.
```
# rolemod -K audit_flags=lo,ex:no root
# rolemod -K audit_flags=lo,ex:no sysadm
# rolemod -K audit_flags=lo,ex:no auditadm
# rolemod -K audit_flags=lo,ex:no netadm
```

Para auditar todos los usuarios de estas clases, establezca los indicadores de todo el sistema.

# auditconfig -setflags lo,ex

El resultado es similar al siguiente:

header,129,2,AUE_EXECVE,,mach1,2010-10-14 12:17:12.616 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
subject,jdoe,root,root,root,root,2486,50036632,82 0 mach1
return,success,0

Para registrar los argumentos de los comandos, agregue la política argv.

# auditconfig -setpolicy +argv

El token exec_args registra los argumentos de los comandos:

header,151,2,AUE_EXECVE,,mach1,2010-10-14 12:26:17.373 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
exec_args,2,ls,/etc/security
subject,jdoe,root,root,root,root,2494,50036632,82 0 mach1
return,success,0

Para registrar el entorno en el que se ejecuta el comando, agregue la política arge.

# auditconfig -setpolicy +arge

El token exec_env registra el entorno de los comandos:

header,1460,2,AUE_EXECVE,,mach1,2010-10-14 12:29:39.679 -07:00
path,/usr/bin/ls
attribute,100555,root,bin,21,320271,18446744073709551615
exec_args,2,ls,/etc/security
exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit,
LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2,
HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8,
PRINTER=example-dbl,...,_=/usr/bin/ls
subject,jdoe,root,root,root,root,2502,50036632,82 0 mach1
return,success,0

Cómo buscar registros de auditoría de los cambios realizados en archivos específicos

Si tiene como objetivo registrar las escrituras de los archivos en comparación con un número limitado de archivos, como /etc/passwd y los archivos en el directorio /etc/default, puede utilizar el comando auditreduce para ubicar los archivos.

Antes de empezar

El rol root puede realizar todas las tareas en este procedimiento.

Si tienen derechos administrativos distribuidos en su organización, tenga en cuenta lo siguiente:

Un administrador con el perfil de derechos de configuración de auditoría puede ejecutar el comando auditconfig.
Un administrador con el perfil de derechos de revisión de auditoría puede ejecutar el comando auditreduce.
Sólo el rol root puede asignar indicadores de auditoría.

Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Auditoría de la clase fw.

Agregar la clase a los indicadores de auditoría de un usuario o rol genera menos registros que agregar la clase a la máscara de preselección de auditoría en todo el sistema. Lleve a cabo uno de los pasos siguientes:

Agregue la clase fw a roles concretos.

# rolemod -K audit_flags=fw:no root
# rolemod -K audit_flags=fw:no sysadm
# rolemod -K audit_flags=fw:no auditadm
# rolemod -K audit_flags=fw:no netadm

Agregue la clase fw a los indicadores de todo el sistema.

# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
# auditconfig -setflags lo,fw
user default audit flags = lo,fw(0x1002,0x1002)

O audite escrituras con éxito de archivos.

Auditar éxitos genera menos registros que auditar fallos y éxitos. Lleve a cabo uno de los pasos siguientes:

Agregue la clase +fw a roles concretos.

# rolemod -K audit_flags=+fw:no root
# rolemod -K audit_flags=+fw:no sysadm
# rolemod -K audit_flags=+fw:no auditadm
# rolemod -K audit_flags=+fw:no netadm

Agregue la clase +fw a los indicadores de todo el sistema.

# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
# auditconfig -setflags lo,+fw
user default audit flags = lo,+fw(0x1002,0x1000)

Si los indicadores de todo el sistema se auditan para determinar el éxito y el fracaso, audite los éxitos sólo para usuarios y roles específicos.

# auditconfig -getflags
active user default audit flags = lo,fw(0x1002,0x1002)
configured user default audit flags = lo,fw(0x1002,0x1002)
# rolemod -K audit_flags=^-fw:no root
# rolemod -K audit_flags=^-fw:no sysadm
# rolemod -K audit_flags=^-fw:no auditadm
# rolemod -K audit_flags=^-fw:no netadm

Los indicadores de todo el sistema aún no tienen cambios, pero la máscara de preselección para estos cuatro roles ha cambiado.

# auditconfig -getflags
active user default audit flags = lo,fw(0x1002,0x1000)
configured user default audit flags = lo,fw(0x1002,0x1000)

Para buscar los registros de auditoría para archivos específicos, utilice el comando auditreduce.
```
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
```
El comando auditreduce busca en la pista de auditoría todas las instancias del argumento file. El comando crea un archivo binario con el sufijo filechg que contiene todos los registros que incluyen los nombres de ruta de los archivos de interés. Consulte la página del comando man auditreduce(1M) para conocer la sintaxis de la opción -o file=nombre_ruta.
Para leer el archivo filechg, utilice el comando praudit .
```
# praudit *filechg
```

Cómo actualizar la máscara de preselección de usuarios con sesión iniciada

Desea que los usuarios que ya han iniciado sesión sean auditados para detectar si hubo cambios en la máscara de preselección de auditoría de todo el sistema.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para finalizar las sesiones de usuario, es necesario que se convierta en administrador con el perfil de derechos de administración de procesos asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Actualice la máscara de preselección de los usuarios que ya iniciaron sesión.
Dispone de dos opciones. Puede terminar las sesiones existentes o utilizar el comando auditconfig para actualizar las máscaras de preselección.
- Termine las sesiones existentes de los usuarios.
  Los usuarios pueden cerrar la sesión y volver a iniciarla. Asimismo, usted, en un rol que tiene asignado el perfil de derechos de gestión de procesos puede terminar (eliminar) manualmente sesiones activas. Las nuevas sesiones heredan la nueva máscara de preselección. Sin embargo, cerrar la sesión de los usuarios puede ser poco práctico.
- Cambie de forma dinámica la máscara de preselección de cada usuario con sesión iniciada.
  En este ejemplo, se presupone que ha cambiado la máscara de preselección de auditoría de todo el sistema de lo a lo,ex.
```
# auditconfig -setflags lo,ex
```
  1. Enumere los usuarios regulares que han iniciado sesión y sus ID de proceso.
```
# who -a
jdoe  - vt/2         Jan 25 07:56  4:10   1597   (:0)
jdoe  + pts/1        Jan 25 10:10   .     1706   (:0.0)
...
jdoe  + pts/2        Jan 25 11:36  3:41   1706   (:0.0)
```
  2. Para realizar una comparación con posterioridad, visualice la máscara de preselección de cada usuario.
```
# auditconfig -getpinfo 1706
audit id = jdoe(1234)
process preselection mask = lo(0x1000,0x1000)
terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234)
audit session id = 103203403
```
  3. Modifique la máscara de preselección apropiada mediante la ejecución de uno o más de los siguientes comandos:
```
# auditconfig -setpmask 1706 lo,ex /* for this process */ 
# auditconfig -setumask jdoe lo,ex /* for this user */ 
# auditconfig -setsmask 103203403 lo,ex /* for this session */
```
  4. Verifique que la máscara de preselección para el usuario haya cambiado.
    Por ejemplo, compruebe un proceso que existía antes de haber cambiado la máscara.
```
# auditconfig -getpinfo 1706
audit id = jdoe(1234)
process preselection mask = ex,lo(0x40001000,0x40001000) 
terminal id (maj,min,host) = 9426,65559,mach1(192.168.123.234)
audit session id = 103203403
```

Cómo evitar la auditoría de eventos específicos

Con fines de mantenimiento, a veces, un sitio quiere evitar que se auditen eventos.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Cambie la clase del evento a la clase no.

Nota - Para obtener información sobre los efectos de modificar un archivo de configuración de auditoría, consulte Archivos de configuración de auditoría y empaquetado.

Por ejemplo, los eventos 26 y 27 pertenecen a la clase pm.

## audit_event file
...
25:AUE_VFORK:vfork(2):ps
26:AUE_SETGROUPS:setgroups(2):pm
27:AUE_SETPGRP:setpgrp(2):pm
28:AUE_SWAPON:swapon(2):no
...

Cambie estos eventos a la clase no.

## audit_event file
...
25:AUE_VFORK:vfork(2):ps
26:AUE_SETGROUPS:setgroups(2):no
27:AUE_SETPGRP:setpgrp(2):no
28:AUE_SWAPON:swapon(2):no
...

Si la clase pm está asiendo auditada actualmente, las sesiones existentes aún auditarán los eventos 26 y 27. Para detener la auditoría de estos eventos, debe actualizar las máscaras de preselección de los usuarios siguiendo las instrucciones de Cómo actualizar la máscara de preselección de usuarios con sesión iniciada.

Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo.

Refresque los eventos del núcleo.

# auditconfig -conf
Configured 283 kernel events.

Cómo limitar el tamaño de los archivos de auditoría binarios

Los archivos de auditoría binarios crecen sin límite. Para facilitar el archivado y la búsqueda, puede que desee limitar el tamaño. También puede crear archivos binarios más pequeños a partir del archivo original.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de configuración de auditoría para definir el atributo p_fsize. Debe convertirse en un administrador que tiene asignado el perfil de derechos de revisión de auditoría para utilizar el comando auditreduce. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Utilice el atributo p_fsize para limitar el tamaño de archivos de auditoría binarios individuales.
Para obtener una descripción del atributo p_fsize, consulte la sección ATRIBUTOS DE OBJETO de la página del comando man audit_binfile(5).
Si desea ver un ejemplo, consulte el Ejemplo 28-14.
Utilice el comando auditreduce para seleccionar registros y escribir esos registros en un archivo más pequeño para un mayor análisis.
Las opciones auditreduce -minúscula buscan registros específicos.
Las opciones auditreduce -mayúscula escriben las selecciones en un archivo. Para obtener más información, consulte la página del comando man auditreduce(1M). Consulte también Gestión de registros de auditoría en sistemas locales (tareas).

Cómo comprimir archivos de auditoría en un sistema de archivos dedicado

Los archivos de auditoría pueden crecer mucho. Puede establecer un límite superior para el tamaño de un archivo, como se muestra en el Ejemplo 28-14. En este procedimiento, se utiliza la compresión para reducir el tamaño.

Antes de empezar

Debe convertirse en un administrador al que se le ha asignado perfiles de derechos de gestión de sistemas de archivos ZFS y gestión de almacenamiento ZFS. El último perfil permite crear agrupaciones de almacenamiento. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Dedique un sistema de archivos ZFS para archivos de auditoría.
Para conocer el procedimiento, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría.
Comprima la agrupación de almacenamiento ZFS mediante una de las siguientes opciones.
Con ambas opciones, se comprime el sistema de archivos de auditoría. Después de que el servicio de auditoría se refresca, la razón de compresión se muestra.
Para establecer la compresión, utilice el comando zfs set compression=onconjunto_datos. En los siguientes ejemplos, la agrupación ZFS auditp/auditf es el conjunto de datos.
- Utilice el algoritmo de compresión predeterminado.
```
# zfs set compression=on auditp/auditf
# audit -s
# zfs get compressratio auditp/auditf
NAME           PROPERTY       VALUE  SOURCE
auditp/auditf  compressratio  4.54x  -
```
- Utilice un algoritmo de compresión superior.
```
# zfs set compression=gzip-9 auditp/auditf
# zfs get compression auditp/auditf
NAME           PROPERTY     VALUE     SOURCE
auditp/auditf  compression  gzip-9    local
# audit -s
# zfs get compressratio auditp/auditf
NAME           PROPERTY       VALUE  SOURCE
auditp/auditf  compressratio  16.89x  -
```
  El algoritmo de compresión gzip-9 genera archivos que ocupan un tercio menos de espacio que el algoritmo de compresión predeterminado, lzjb. Para obtener más información, consulte el Capítulo 5, Administración de sistemas de archivos ZFS de Oracle Solaris de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.

Cómo auditar inicios de sesión de otros sistemas operativos

El sistema operativo Oracle Solaris puede auditar todos los inicios de sesión, independientemente del origen.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Audite la clase lo para los eventos atribuibles y no atribuibles.

Esta clase audita los inicios de sesión, los cierres de sesión y los bloqueos de pantalla. Estas clases se auditan de manera predeterminada.

# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)

Si los valores se han modificado, agregue el indicador lo.

# auditconfig -getflags
active user default audit flags = as,st(0x20800,0x20800)
configured user default audit flags = as,st(0x20800,0x20800)
# auditconfig -setflags lo,as,st
user default audit flags = as,lo,st(0x21800,0x21800)
# auditconfig -getnaflags
active non-attributable audit flags = na(0x400,0x400)
configured non-attributable audit flags = na(0x400,0x400)
# auditconfig -setnaflags lo,na
non-attributable audit flags = lo,na(0x1400,0x1400)

Nota - Para auditar inicios de sesión ssh, su sistema debe ejecutar el daemon ssh de Oracle Solaris. Este daemon se modifica para el servicio de auditoría en un sistema Oracle Solaris. Para obtener más información, consulte Secure Shell y el proyecto OpenSSH.

Cómo auditar transferencias de archivos FTP y SFTP

El servicio FTP crea registros de sus transferencias de archivos. El servicio SFTP, que se ejecuta bajo el protocolo ssh, puede ser auditado mediante la preselección de la clase de auditoría ft. Se pueden auditar los inicios de sesión en ambos servicios.

Antes de empezar

Para registrar comandos y transferencias de archivos del servicio FTP, consulte la página del comando man proftpd(8).
Para conocer las opciones de registro disponibles, lea ProFTPD Logging.

Para registrar el acceso a sftp y las transferencias de archivos, audite la clase ft.

La clase ft incluye las siguientes transacciones SFTP:

% auditrecord -c ft
file transfer: chmod ...
file transfer: chown ...
file transfer: get ...
file transfer: mkdir ...
file transfer: put ...
file transfer: remove ...
file transfer: rename ...
file transfer: rmdir ...
file transfer: session start ...
file transfer: session end ...
file transfer: symlink ...
file transfer: utimes

Para registrar el acceso al servidor FTP, audite la clase lo.

Como indica la siguiente salida, el inicio y cierre de sesión del daemon proftpd generan registros de auditoría.

% auditrecord -c lo | more
...
FTP server login
  program     proftpd              See in.ftpd(1M)
  event ID    6165                 AUE_ftpd
  class       lo                   (0x0000000000001000)
      header
      subject
      [text]                       error message
      return

FTP server logout
  program     proftpd              See in.ftpd(1M)
  event ID    6171                 AUE_ftpd_logout
  class       lo                   (0x0000000000001000)
      header
      subject
      return
...

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español)