Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo configurar las características de auditoría de un usuario

Estas características de auditoría específicas del usuario que se establecen mediante este procedimiento se combinan con las clases preseleccionadas para el sistema. Juntas determinan la máscara de auditoría del usuario, como se describe en Características del proceso de auditoría.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. (Opcional) Visualice las clases de auditoría que están seleccionadas actualmente para los usuarios existentes.
    1. Visualice la lista de usuarios.
      # who
      adoe    pts/1        Oct 10 10:20	(:0.0)
      adoe    pts/2        Oct 10 10:20	(:0.0)
      jdoe    pts/5        Oct 12 12:20	(:0.0)
      jdoe    pts/6        Oct 12 12:20	(:0.0)
      ...
      
    2. Visualice el valor del atributo audit_flags para cada usuario.
      # userattr audit_flags adoe
      # userattr audit_flags jdoe
  2. Defina los indicadores de auditoría en la base de datos user_attr o prof_attr.

    Por ejemplo, puede crear un perfil de derechos que define los derechos de un subconjunto de sus usuarios. Los usuarios que tengan asignado ese perfil de derechos se auditan de forma idéntica.

    • Para definir indicadores de auditoría de un usuario, utilice el comando usermod.
      # usermod -K audit_flags=fw:no jdoe

      El formato de la palabra clave audit_flags es always-audit:never-audit.

      always-audit

      Muestra las clases de auditoría que se van a auditar para este usuario. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^). Las clases que se agregan a las clases de todo el sistema no están precedidas por un signo de intercalación.

      never-audit

      Muestra las clases de auditoría que nunca se van a auditar para el usuario, incluso si estos eventos de auditoría se auditan en todo el sistema. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^).

      Para especificar varias clases de auditoría, separe las clases con comas. Para obtener más información, consulte la página del comando man audit_flags(5).

    • Para definir indicadores de auditoría para un perfil de derechos, utilice el comando profiles.
      # profiles -p "System Administrator"
      profiles:System Administrator> set name="Audited System Administrator"
      profiles:Audited System Administrator> set always_audit=fw,as
      profiles:Audited System Administrator> end
      profiles:Audited System Administrator> exit

      Cuando asigna el perfil de derechos de administrador del sistema auditado a un usuario o un rol, ese usuario o rol se audita en busca de esos indicadores, según el orden de búsqueda que se describe en Orden de búsqueda para derechos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Ejemplo 3-5  Cambio de eventos que se van a auditar para un usuario

En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Ningún usuario, excepto el administrador, inicia sesión.

Para reducir el impacto del evento de auditoría AUE_PFEXEC en los recursos del sistema, el administrador no audita este evento en el nivel del sistema. En su lugar, el administrador selecciona previamente la clase pf para un usuario, jdoe. La clase pf se crea en el Example 3–15.

# usermod -K audit_flags=pf:no jdoe

El comando userattr muestra la agregación.

# userattr audit_flags jdoe
pf:no

Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = ss,pf,lo(0x0100000008011000,0x0100000008011000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403
Ejemplo 3-6  Modificación de excepción de preselección de auditoría para un usuario

En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Ningún usuario, excepto el administrador, inicia sesión.

El administrador decide no recopilar eventos ss fallidos para el usuario jdoe.

# usermod -K audit_flags=^-ss:no jdoe

El comando userattr muestra la excepción.

# userattr audit_flags jdoe
^-ss:no

Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = +ss,lo(0x11000,0x1000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403
Ejemplo 3-7  Auditoría de usuarios seleccionados, sin auditoría en todo el sistema

En este ejemplo, se auditan el inicio de sesión y las actividades de rol de cuatro usuarios seleccionados en el sistema. No se preseleccionan clases de auditoría para el sistema.

En primer lugar, el administrador elimina todos los indicadores en todo el sistema.

# auditconfig -setflags no
user default audit flags = no(0x0,0x0)

A continuación, el administrador selecciona previamente dos clases de auditoría para los cuatro usuarios. La clase pf se crea en el Example 3–15.

# usermod -K audit_flags=lo,pf:no jdoe
# usermod -K audit_flags=lo,pf:no kdoe
# usermod -K audit_flags=lo,pf:no pdoe
# usermod -K audit_flags=lo,pf:no zdoe

A continuación, el administrador selecciona previamente la clase pf para el rol root.

# userattr audit_flags root
# rolemod -K audit_flags=lo,pf:no root
# userattr audit_flags root
lo,pf:no

Para registrar intrusiones injustificadas, el administrador no cambia la auditoría de inicios de sesión no atribuibles.

# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)
Ejemplo 3-8  Eliminación de indicadores de auditoría de un usuario

En el siguiente ejemplo, el administrador elimina todos los indicadores de auditoría específicos de usuario. Los procesos existentes de usuarios que han iniciado sesión actualmente siguen siendo auditados.

El administrador ejecuta el comando usermod con la palabra clave audit_flags establecida en ningún valor.

# usermod -K audit_flags= jdoe
# usermod -K audit_flags= kdoe
# usermod -K audit_flags= ldoe

A continuación, el administrador verifica la eliminación.

# userattr audit_flags jdoe
# userattr audit_flags kdoe
# userattr audit_flags ldoe
Ejemplo 3-9  Creación de un perfil de derechos para un grupo de usuarios

El administrador desea que todos los perfiles de derechos administrativos del sitio auditen explícitamente la clase pf. Para cada perfil de derechos que se va a asignar, el administrador crea una versión específica de sitio en LDAP que incluye indicadores de auditoría.

En primer lugar, el administrador clona un perfil de derechos existente y, luego, cambia el nombre y agrega indicadores de auditoría.

# profiles -p "Network Wifi Management" -S ldap
profiles: Network Wifi Management> set name="Wifi Management"
profiles: Wifi Management> set desc="Audited wifi management"
profiles: Wifi Management> set audit_always=pf
profiles: Wifi Management> exit

Después de repetir este procedimiento para cada perfil de derechos que se va a utilizar, el administrador enumera la información en el perfil de gestión de Wi-Fi.

# profiles -p "Wifi Management" -S ldap info
name=Wifi Management
desc=Audited wifi management
auths=solaris.network.wifi.config
help=RtNetWifiMngmnt.html
always_audit=pf