Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo cambiar la política de auditoría

Puede cambiar la política de auditoría predeterminada para registrar información detallada sobre comandos auditados, para agregar un nombre de zona a cada registro o para satisfacer otros requisitos de seguridad del sitio.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Visualice la política de auditoría actual.
    $ auditconfig -getpolicy
    ...

    Para obtener una explicación de la salida, consulte Visualización de los valores predeterminados del servicio de auditoría.

  2. Vea las opciones de política disponibles.
    $ auditconfig -lspolicy
    policy string    description:
    ahlt             halt machine if it can not record an async event
    all              all policies for the zone
    arge             include exec environment args in audit recs
    argv             include exec command line args in audit recs
    cnt              when no more space, drop recs and keep a cnt
    group            include supplementary groups in audit recs
    none             no policies
    path             allow multiple paths per event
    perzone          use a separate queue and auditd per zone
    public           audit public files
    seq              include a sequence number in audit recs
    trail            include trailer token in audit recs
    windata_down     include downgraded window information in audit recs
    windata_up       include upgraded window information in audit recs
    zonename         include zonename token in audit recs

    Notas -  Las opciones de política perzone y ahlt solamente se pueden configurar en la zona global. Para que las compensaciones usen una opción de política particular, consulte Comprensión de la política de auditoría.
  3. Active o desactive las opciones de política de auditoría seleccionadas.
    # auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
    –t

    Opcional. Crea una política activa o temporal. Puede definir una política temporal para depurar o para fines de prueba.

    Una política temporal permanece vigente hasta que el servicio de auditoría se refresca o hasta que la política es modificada por el comando auditconfig -setpolicy.

    prefix

    Un valor de prefix de + agrega la lista de políticas a la política actual. Un valor de prefix de - elimina la lista de políticas de la política actual. Sin un prefijo, la política de auditoría se restablece. Esta opción le permite mantener las políticas de auditoría actuales.

    policy

    Selecciona la política que se activará o desactivará.

Ejemplo 3-10  Configuración de la opción de política de auditoría ahlt

En este ejemplo, la seguridad de sitio estricta requiere la política ahlt.

# auditconfig -setpolicy -cnt
# auditconfig -setpolicy +ahlt

El signo más (+) antes de la política ahlt agrega la política a la configuración de política actual. Sin el signo más, la política ahlt sustituye todas las políticas de auditoría actuales.

Ejemplo 3-11  Definición de una política de auditoría temporal

En este ejemplo, está configurada la política de auditoría ahlt. Para la depuración, el administrador agrega la política de auditoría trail a la política activa (+trail) temporalmente (–t). La política trail ayuda en la recuperación de pistas de auditoría dañadas.

$ auditconfig -setpolicy ahlt
$ auditconfig -getpolicy
configured audit policies = ahlt
active audit policies = ahlt
$ auditconfig -t -setpolicy +trail
configured audit policies = ahlt
active audit policies = ahlt,trail

El administrador desactiva la política trail cuando la depuración finaliza.

$ auditconfig -setpolicy -trail
$ auditconfig -getpolicy
configured audit policies = ahlt
active audit policies = ahlt

Refrescar el servicio de auditoría ejecutando el comando audit -s también elimina esta política temporal, además de otros valores temporales en el servicio de auditoría. Para ver ejemplos de otros valores temporales, consulte Cómo cambiar controles de colas de auditoría.

Ejemplo 3-12  Configuración de la política de auditoría perzone

En este ejemplo, la política de auditoría perzone se agrega a la política existente en la zona global. La configuración de la política perzone se almacena como una propiedad permanente, por lo que la política perzone está en vigor durante la sesión y cuando el servicio de auditoría se reinicia. Para las zonas, la política está disponible en el siguiente inicio de zona.

$ auditconfig -getpolicy
configured audit policies = cnt
active audit policies = cnt
$ auditconfig -setpolicy +perzone
$ auditconfig -getpolicy
configured audit policies = perzone,cnt
active audit policies = perzone,cnt
Ejemplo 3-13  Recopilación de registros de auditoría para auditores externos

En este ejemplo, el administrador está recopilando registros de auditoría para satisfacer los requisitos de auditores externos. El administrador decide utilizar un servidor de auditoría remota (ARS) para recopilar información acerca de las actividades administrativas. El administrador también recopila las acciones que no se pueden atribuir a un usuario, como el inicio.

El administrador configura ARS. Además de la auditoría de la clase cusa, el administrador agrega políticas a la configuración de auditoría.

# auditconfig -setflags cusa
user default audit flags = ex,xa,ua,as,ss,ap,lo,ft(0x80475080,0x80475080)
# auditconfig -setpolicy ahlt,argv,argeauditconfig # auditconfig -getpolicy
configured audit policies = ahlt,arge,argv
active audit policies = ahlt,arge,argv
# auditconfig -setnaflags lo,na
non-attributable audit flags = lo,na(0x1400,0x1400)

Cuando el administrador activa el complemento audit_remote y refresca el servicio de auditoría, los registros se recopilan.