Puede cambiar la política de auditoría predeterminada para registrar información detallada sobre comandos auditados, para agregar un nombre de zona a cada registro o para satisfacer otros requisitos de seguridad del sitio.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
$ auditconfig -getpolicy ...
Para obtener una explicación de la salida, consulte Visualización de los valores predeterminados del servicio de auditoría.
$ auditconfig -lspolicy policy string description: ahlt halt machine if it can not record an async event all all policies for the zone arge include exec environment args in audit recs argv include exec command line args in audit recs cnt when no more space, drop recs and keep a cnt group include supplementary groups in audit recs none no policies path allow multiple paths per event perzone use a separate queue and auditd per zone public audit public files seq include a sequence number in audit recs trail include trailer token in audit recs windata_down include downgraded window information in audit recs windata_up include upgraded window information in audit recs zonename include zonename token in audit recs
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
Opcional. Crea una política activa o temporal. Puede definir una política temporal para depurar o para fines de prueba.
Una política temporal permanece vigente hasta que el servicio de auditoría se refresca o hasta que la política es modificada por el comando auditconfig -setpolicy.
Un valor de prefix de + agrega la lista de políticas a la política actual. Un valor de prefix de - elimina la lista de políticas de la política actual. Sin un prefijo, la política de auditoría se restablece. Esta opción le permite mantener las políticas de auditoría actuales.
Selecciona la política que se activará o desactivará.
En este ejemplo, la seguridad de sitio estricta requiere la política ahlt.
# auditconfig -setpolicy -cnt # auditconfig -setpolicy +ahlt
El signo más (+) antes de la política ahlt agrega la política a la configuración de política actual. Sin el signo más, la política ahlt sustituye todas las políticas de auditoría actuales.
Ejemplo 3-11 Definición de una política de auditoría temporalEn este ejemplo, está configurada la política de auditoría ahlt. Para la depuración, el administrador agrega la política de auditoría trail a la política activa (+trail) temporalmente (–t). La política trail ayuda en la recuperación de pistas de auditoría dañadas.
$ auditconfig -setpolicy ahlt $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt $ auditconfig -t -setpolicy +trail configured audit policies = ahlt active audit policies = ahlt,trail
El administrador desactiva la política trail cuando la depuración finaliza.
$ auditconfig -setpolicy -trail $ auditconfig -getpolicy configured audit policies = ahlt active audit policies = ahlt
Refrescar el servicio de auditoría ejecutando el comando audit -s también elimina esta política temporal, además de otros valores temporales en el servicio de auditoría. Para ver ejemplos de otros valores temporales, consulte Cómo cambiar controles de colas de auditoría.
Ejemplo 3-12 Configuración de la política de auditoría perzoneEn este ejemplo, la política de auditoría perzone se agrega a la política existente en la zona global. La configuración de la política perzone se almacena como una propiedad permanente, por lo que la política perzone está en vigor durante la sesión y cuando el servicio de auditoría se reinicia. Para las zonas, la política está disponible en el siguiente inicio de zona.
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt $ auditconfig -setpolicy +perzone $ auditconfig -getpolicy configured audit policies = perzone,cnt active audit policies = perzone,cntEjemplo 3-13 Recopilación de registros de auditoría para auditores externos
En este ejemplo, el administrador está recopilando registros de auditoría para satisfacer los requisitos de auditores externos. El administrador decide utilizar un servidor de auditoría remota (ARS) para recopilar información acerca de las actividades administrativas. El administrador también recopila las acciones que no se pueden atribuir a un usuario, como el inicio.
El administrador configura ARS. Además de la auditoría de la clase cusa, el administrador agrega políticas a la configuración de auditoría.
# auditconfig -setflags cusa user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080) # auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy configured audit policies = ahlt,arge,argv active audit policies = ahlt,arge,argv # auditconfig -setnaflags lo,na non-attributable audit flags = lo,na(0x1400,0x1400)
Cuando el administrador activa el complemento audit_remote y refresca el servicio de auditoría, los registros se recopilan.