Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo auditar todos los comandos por usuarios

Como parte de la política de seguridad del sitio, algunos sitios requieren registros de auditoría de todos los comandos ejecutados por la cuenta root y los roles administrativos. Algunos sitios pueden requerir registros de auditoría de todos los comandos por todos los usuarios. Además, los sitios pueden requerir que los argumentos de los comandos y el entorno se registren.

Antes de empezar

Para preseleccionar clases de auditoría y definir la política de auditoría, debe tener convertirse en administrador con el perfil de derechos de configuración de auditoría asignado. Para asignar indicadores de auditoría a usuarios, roles y perfiles de derechos, debe asumir el rol root.

  1. Visualice la información de evento en el nivel de usuario para las clases lo y ex.

    La clase ex audita todas las llamadas a las funciones exec() y execve().

    La clase lo audita los inicios de sesión, los cierres de sesión y los bloqueos de pantalla. La siguiente salida muestra todos los eventos de las clases ex y lo.

    % auditconfig -lsevent | grep " lo "
    AUE_login                       6152 lo login - local
    AUE_logout                      6153 lo logout
    AUE_telnet                      6154 lo login - telnet
    AUE_rlogin                      6155 lo login - rlogin
    AUE_rshd                        6158 lo rsh access
    AUE_su                          6159 lo su
    AUE_rexecd                      6162 lo rexecd
    AUE_passwd                      6163 lo passwd
    AUE_rexd                        6164 lo rexd
    AUE_ftpd                        6165 lo ftp access
    AUE_ftpd_logout                 6171 lo ftp logout
    AUE_ssh                         6172 lo login - ssh
    AUE_role_login                  6173 lo role login
    AUE_newgrp_login                6212 lo newgrp login
    AUE_admin_authenticate          6213 lo admin login
    AUE_screenlock                  6221 lo screenlock - lock
    AUE_screenunlock                6222 lo screenlock - unlock
    AUE_zlogin                      6227 lo login - zlogin
    AUE_su_logout                   6228 lo su logout
    AUE_role_logout                 6229 lo role logout
    AUE_smbd_session                6244 lo smbd(1m) session setup
    AUE_smbd_logoff                 6245 lo smbd(1m) session logoff
    AUE_ClientConnect               9101 lo client connection to x server
    AUE_ClientDisconnect            9102 lo client disconn. from x server
    
    % auditconfig -lsevent | egrep " ex |,ex |ex,"
    AUE_EXECVE                        23 ex,ps execve(2)
  2. Audite las clases lo y ex.
    • Para auditar los roles administrativos de estas clases, modifique los atributos de seguridad de los roles.

      En el siguiente ejemplo, root es un rol. El sitio ha creado tres roles: sysadm, auditadm y netadm. Todos los roles se auditan para determinar el éxito y el fallo de eventos en las clases ex y lo.

      # rolemod -K audit_flags=lo,ex:no root
      
      # rolemod -K audit_flags=lo,ex:no sysadm
      
      # rolemod -K audit_flags=lo,ex:no auditadm
      
      # rolemod -K audit_flags=lo,ex:no netadm
      
    • Para auditar todos los usuarios de estas clases, establezca los indicadores de todo el sistema.
      # auditconfig -setflags lo,ex
      

      El resultado es similar al siguiente:

      header,129,2,AUE_EXECVE,,mach1,2010-10-14 12:17:12.616 -07:00
      path,/usr/bin/ls
      attribute,100555,root,bin,21,320271,18446744073709551615
      subject,jdoe,root,root,root,root,2486,50036632,82 0 mach1
      return,success,0
      
  3. Especifique información adicional que se deba registrar sobre el uso de comandos.
    • Para registrar los argumentos de comandos, agregue la política argv.
      # auditconfig -setpolicy +argv

      El token exec_args registra los argumentos de los comandos:

      header,151,2,AUE_EXECVE,,mach1,2010-10-14 12:26:17.373 -07:00
      path,/usr/bin/ls
      attribute,100555,root,bin,21,320271,18446744073709551615
      exec_args
      ,2,ls,/etc/security
      subject,jdoe,root,root,root,root,2494,50036632,82 0 mach1
      return,success,0
    • Para registrar el entorno en el que se ejecuta el comando, agregue la política arge.
      # auditconfig -setpolicy +arge
      

      El token exec_env registra el entorno de los comandos:

      header,1460,2,AUE_EXECVE,,mach1,2010-10-14 12:29:39.679 -07:00
      path,/usr/bin/ls
      attribute,100555,root,bin,21,320271,18446744073709551615
      exec_args,2,ls,/etc/security
      exec_env
      ,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit,
      LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2,
      HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8,
      PRINTER=example-dbl,...,_=/usr/bin/ls
      subject,jdoe,root,root,root,root,2502,50036632,82 0 mach1
      return,success,0