Protección y verificación de la integridad de archivos en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo crear un manifiesto de control

Este procedimiento explica cómo crear un manifiesto de línea base o control para la comparación. Utilice este tipo de manifiesto al instalar muchos sistemas desde una imagen central. O bien, utilice este tipo de manifiesto para realizar comparaciones cuando desee comprobar que las instalaciones sean idénticas. Para obtener más información sobre los manifiestos de control, consulte Manifiesto de BART. Para comprender las convenciones de formato, consulte el Example 2–1.

Notas - No intente catalogar sistemas de archivos conectados en red. Al usar BART para supervisar los sistemas de archivos conectados a la red, se consume una gran cantidad de recursos para generar manifiestos de poco valor.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Después de personalizar el sistema Oracle Solaris según los requisitos de seguridad de su sitio, cree un manifiesto de control y redirija la salida a un archivo. 
    # bart create options > control-manifest
    –S

    Especifica el directorio raíz para el manifiesto. Todas las rutas especificadas por las reglas se interpretan en relación con este directorio. Todas las rutas informadas en el manifiesto están relacionadas con este directorio.

    –I

    Acepta una lista de archivos individuales para catalogarlos, ya sea en la línea de comandos o leídos de la entrada estándar.

    –r

    Nombre del archivo de reglas para este manifiesto. Un argumento - lee el archivo de reglas desde la entrada estándar.

    –n

    Desactiva firmas de contenido para todos los archivos regulares en la lista de archivos. Esta opción se puede utilizar mejorar el rendimiento. De manera alternativa, puede utilizar esta opción si se espera que cambie el contenido de la lista de archivos, como en el caso de los archivos de registro del sistema.

  2. Examine el contenido del manifiesto.

    Para obtener una explicación del formato, consulte el Example 2–1.

  3. (Opcional)Proteja el manifiesto.

    Una forma de proteger los manifiestos del sistema es colocarlos en un directorio al que sólo puede tener acceso la cuenta root.

    # mkdir /var/adm/log/bartlogs
# chmod 700 /var/adm/log/bartlogs
# mv control-manifest /var/adm/log/bartlogs

    Elija un nombre significativo para el manifiesto. Por ejemplo, utilice el nombre del sistema y la fecha en la que se creó el manifiesto, como mach1-120313.

Ejemplo 2-1  Explicación del formato de manifiesto BART

En este ejemplo, una explicación del formato del manifiesto sigue la salida de ejemplo.

# bart create
! Version 1.1
! HASH SHA256
! Saturday, September 07, 2013 (22:22:27)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/ D 1024 40755 user::rwx,group::r-x,mask:r-x,other:r-x
3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 0 0
.
.
.
/zone D 512 40755 user::rwx group::r-x,mask:r-x,other:r-x 3f81e892
154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 0 0
.
.
.

Cada manifiesto costa de un encabezado y entradas de archivos. Cada entrada de archivo consiste en una sola línea, según el tipo de archivo. Por ejemplo, para cada entrada de archivo de la salida anterior, el tipo F especifica un archivo y el tipo D especifica un directorio. También se muestra información sobre el tamaño, el contenido, el ID de usuario, el ID de grupo y los permisos. Las entradas de archivos en la salida se ordenan por versiones codificadas de los nombres de archivos, a fin de manejar correctamente los caracteres especiales. Todas las entradas se ordenan de manera ascendente por nombre de archivo. En todos los nombres de archivos no estándar, como los que contienen caracteres de tabulación o de línea nueva incrustados, escriba los caracteres no estándar entre comillas antes de ordenar las entradas.

Las líneas que empiezan por ! proporcionan metadatos sobre el manifiesto. La línea de versión del manifiesto indica la versión de especificación del manifiesto. La línea hash indica el mecanismo hash que se utilizó. Para obtener más información sobre el hash SHA256 usado como una suma de comprobación, consulte la página del comando man sha2(3EXT).

La línea de fecha muestra la fecha en la que se creó el manifiesto, en formato de fecha. Consulte la página del comando man date(1). La herramienta de comparación de manifiestos ignora algunas líneas. Las líneas ignoradas incluyen metadatos, líneas en blanco, líneas que contienen sólo espacios en blanco y comentarios que empiezan por #.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente