Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo configurar todas las zonas de forma idéntica para la auditoría

Este procedimiento activa las auditorías de cada zona de forma idéntica. Este método requiere la menor sobrecarga del equipo y la menor cantidad de recursos administrativos.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Configure la zona global para la auditoría.

      Complete las tareas en Configuración del servicio de auditoría, con las siguientes excepciones:

    • No active la política de auditoría perzone.

    • Establezca la política zonename. Esta política agrega el nombre de la zona a cada registro de auditoría.

      # auditconfig -setpolicy +zonename
  2. Si modifica archivos de configuración de auditoría, cópielos de la zona global a cada zona no global.

      Si modifica el archivo audit_class o audit_event, cópielo de una de estas dos formas:

    • Puede montar en bucle de retorno los archivos.

    • Puede copiar los archivos.

    La zona no global debe estar en ejecución.

    • Monte los archivos audit_class y audit_event cambiados como un sistema de archivos de bucle de retorno (lofs).
      1. Desde la zona global, detenga la zona no global.
        # zoneadm -z non-global-zone halt
      2. Cree un montaje en bucle de retorno de sólo lectura para cada archivo de configuración de auditoría que haya modificado en la zona global.
        # zonecfg -z non-global-zone
        zone: add fs
        zone/fs: set special=/etc/security/audit-file
        zone/fs: set dir=/etc/security/audit-file
        zone/fs: set type=lofs
        zone/fs: add options [ro,nodevices,nosetuid]
        zone/fs: commit
        zone/fs: end
        zone: exit
        #
      3. Para que los cambios entren en vigencia, inicie la zona no global.
        # zoneadm -z non-global-zone boot

        Más adelante, si modifica un archivo de configuración de auditoría en la zona global, debe reiniciar cada zona para refrescar los archivos montados en bucle de retorno en las zonas no globales.

    • Copie los archivos.
      1. Desde la zona global, muestre el directorio /etc/security en cada zona no global.
        # ls /zone/zonename/root/etc/security/
      2. Copie los archivos audit_class y audit_event cambiados en el directorio /etc/security de cada zona.
        # cp /etc/security/audit-file /zone/zonename/root/etc/security/audit-file

        Más adelante, si cambia uno de estos archivos en la zona global, debe copiar el archivo cambiado a las zonas no globales.

    Las zonas no globales se auditan cuando se reinicia el servicio de auditoría en la zona global o cuando las zonas se reinician.

Ejemplo 3-17  Montaje de archivos de configuración de auditoría como montajes de bucle de retorno en una zona

En este ejemplo, el administrador del sistema ha modificado los archivos audit_class , audit_event y audit_warn.

El archivo audit_warn solamente se lee en la zona global, por lo que no se tiene que montar en las zonas no globales.

En este sistema, machine1, el administrador ha creado dos zonas no globales, machine1-webserver y machine1-appserver. El administrador ha terminado de modificar los archivos de configuración de auditoría. Si el administrador más tarde modifica los archivos, la zona se debe reiniciar para volver a leer los montajes de bucle de retorno.

# zoneadm -z machine1-webserver halt
# zoneadm -z machine1-appserver halt
# zonecfg -z machine1-webserver
webserver: add fs
webserver/fs: set special=/etc/security/audit_class
webserver/fs: set dir=/etc/security/audit_class
webserver/fs: set type=lofs
webserver/fs: add options [ro,nodevices,nosetuid]
webserver/fs: commit
webserver/fs: end
webserver: add fs
webserver/fs: set special=/etc/security/audit_event
webserver/fs: set dir=/etc/security/audit_event
webserver/fs: set type=lofs
webserver/fs: add options [ro,nodevices,nosetuid]
webserver/fs: commit
webserver/fs: end
webserver: exit
#

# zonecfg -z machine1-appserver
appserver: add fs
appserver/fs: set special=/etc/security/audit_class
appserver/fs: set dir=/etc/security/audit_class
appserver/fs: set type=lofs
appserver/fs: add options [ro,nodevices,nosetuid]
appserver/fs: commit
appserver/fs: end
appserver: exit

Cuando las zonas no globales se reinician, los archivos audit_class y audit_event son de sólo lectura en las zonas.