Ejemplo: configuración de auditoría de Oracle Solaris

Esta sección proporciona un ejemplo de cómo configurar e implementar la auditoría de Oracle Solaris. Empieza con la configuración de distintos atributos del servicio de acuerdo con necesidades y requisitos específicos. Después de que la configuración finaliza, el servicio de auditoría se inicia para aplicar los valores de configuración. Cada vez que necesite revisar una configuración de auditoría existente para satisfacer nuevos requisitos, siga la misma secuencia de acciones de este ejemplo:

1. Configure los parámetros de auditoría.

2. Refresque el servicio de auditoría.

3. Verifique la nueva configuración de auditoría.

• En primer lugar, el administrador agrega una política temporal.

  # auditconfig -t -setpolicy +zonename
  # auditconfig -getpolicy
  configured audit policies = ahlt,arge,argv,perzone
  active audit policies = ahlt,arge,argv,perzone,zonename

• A continuación, el administrador especifica controles de colas.

  # auditconfig -setqctrl 200 20 0 0
  # auditconfig -getqctrl
  configured audit queue hiwater mark (records) = 200
  configured audit queue lowater mark (records) = 20
  configured audit queue buffer size (bytes) = 8192
  configured audit queue delay (ticks) = 20
  active audit queue hiwater mark (records) = 200
  active audit queue lowater mark (records) = 20
  active audit queue buffer size (bytes) = 8192
  active audit queue delay (ticks) = 20

• A continuación, el administrador especifica atributos de complementos.

  • Para el complemento audit_binfile, el administrador elimina el valor qsize.

    # auditconfig -getplugin audit_binfile
    Plugin: audit_binfile
    Attributes: p_dir=/audit/sys1.1,/var/audit;
    p_minfree=2;p_fsize=4G;
    Queue size: 200
    # auditconfig -setplugin audit_binfile  "" 0
    # auditconfig -getplugin audit_binfile
    Plugin: audit_binfile
    Attributes: p_dir=/audit/sys1.1,/var/audit
    p_minfree=2;p_fsize=4G;

  • Para el complemento audit_syslog, el administrador especifica que los eventos de inicio y cierre de sesión con éxito y los archivos ejecutables con fallos se envíen a syslog. qsize para este complemento se define en 150.

    # auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150
    # auditconfig -getplugin audit_syslog
    auditconfig -getplugin audit_syslog
    Plugin: audit_syslog
    Attributes: p_flags=+lo,-ex;
    Queue size: 150

  • El administrador no configura ni usa el complemento audit_remote.

• Luego, el administrador refresca el servicio de auditoría y verifica la configuración.

  • La política zonename temporal ya no está definida.

    # audit -s
    # auditconfig -getpolicy
    configured audit policies = ahlt,arge,argv,perzone
    active audit policies = ahlt,arge,argv,perzone

  • Los controles de colas permanecen igual.

    # auditconfig -getqctrl
    configured audit queue hiwater mark (records) = 200
    configured audit queue lowater mark (records) = 20
    configured audit queue buffer size (bytes) = 8192
    configured audit queue delay (ticks) = 20
    active audit queue hiwater mark (records) = 200
    active audit queue lowater mark (records) = 20
    active audit queue buffer size (bytes) = 8192
    active audit queue delay (ticks) = 20

  • El complemento audit_binfile no tiene un tamaño de cola especificado. El complemento audit_syslog tiene un tamaño de cola especificado.

    # auditconfig -getplugin
    Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    
    Plugin: audit_syslog
    Attributes: p_flags=+lo,-ex;
    Queue size: 50
    ...