El procedimiento siguiente muestra cómo crear una agrupación ZFS para los archivos de auditoría, así como los sistemas de archivos y los puntos de montaje correspondientes. De manera predeterminada, el sistema de archivos /var/audit contiene archivos de auditoría para el complemento audit_binfile.
Antes de empezar
Debe convertirse en un administrador al que se le ha asignado perfiles de derechos de gestión de sistemas de archivos ZFS y gestión de almacenamiento ZFS. El último perfil permite crear agrupaciones de almacenamiento. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Asigne, por lo menos, 200 MB de espacio en disco por host. Sin embargo, la cantidad de auditoría que necesita es la que dicta los requisitos de espacio en disco. Los requisitos de espacio en disco pueden ser mucho mayores que los que indica esta figura.
El comando zpool create crea una agrupación de almacenamiento, es decir, un contenedor para los sistemas de archivos ZFS. Para obtener más información, consulte el Capítulo 1, Sistema de archivos ZFS de Oracle Solaris (introducción) de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .
# zpool create audit-pool mirror disk1 disk2
Por ejemplo, cree la agrupación auditp de dos discos, c3t1d0 y c3t2d0, y refléjelos.
# zpool create auditp mirror c3t1d0 c3t2d0
Cree el sistema de archivos y el punto de montaje con un comando. En el momento de la creación, se monta el sistema de archivos. Por ejemplo, la siguiente ilustración muestra el almacenamiento de pista de auditoría almacenado por nombre de host.
El cifrado requiere gestión. Por ejemplo, una frase de contraseña se requiere en el momento del montaje. Para obtener más información, consulte Cifrado de sistemas de archivos ZFS de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .
# zfs create -o mountpoint=/mountpoint audit-pool/mountpoint
Por ejemplo, cree el punto de montaje /audit para el sistema de archivos auditf.
# zfs create -o mountpoint=/audit auditp/auditf
# zfs create -p auditp/auditf/system
Por ejemplo, cree un sistema de archivos ZFS sin cifrar para el sistema sys1.
# zfs create -p auditp/auditf/sys1
Un motivo para crear sistemas de archivos adicionales es evitar el desbordamiento de la auditoría. Puede establecer una cuota ZFS por sistema de archivos, como se muestra en el Step 8. El alias de correo electrónico audit_warn le notifica cuando se alcanza cada cuota. Para liberar espacio, puede mover los archivos de auditoría cerrados a un servidor remoto.
# zfs create -p auditp/auditf/sys1.1 # zfs create -p auditp/auditf/sys1.2
Las siguientes propiedades ZFS se establecen en off para todos los sistemas de archivos en la agrupación:
# zfs set devices=off auditp/auditf # zfs set exec=off auditp/auditf # zfs set setuid=off auditp/auditf
Normalmente, la compresión está definida en ZFS, en el nivel del sistema de archivos. Sin embargo, debido a que todos los sistemas de archivos de esta agrupación contienen archivos de auditoría, la compresión se establece en el conjunto de datos de nivel superior para la agrupación.
# zfs set compression=on auditp
Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .
Puede definir cuotas en el sistema de archivos principal, los sistemas de archivos descendientes o en ambos. Si define una cuota en el sistema de archivos de auditoría principal, las cuotas en los sistemas de archivos descendientes imponen un límite adicional.
En el siguiente ejemplo, cuando ambos discos en la agrupación auditp alcanzan la cuota, la secuencia de comandos audit_warn notifica al administrador de la auditoría.
# zfs set quota=510G auditp/auditf
En el siguiente ejemplo, cuando se alcanza la cuota para el sistema de archivos auditp/auditf/system, la secuencia de comandos audit_warn notifica al administrador de la auditoría.
# zfs set quota=170G auditp/auditf/sys1 # zfs set quota=170G auditp/auditf/sys1.1 # zfs set quota=165G auditp/auditf/sys1.2
De manera predeterminada, un archivo de auditoría puede crecer hasta alcanzar el tamaño de la agrupación. Para facilitar la gestión, limite el tamaño de los archivos de auditoría. Consulte Example 4–3.
Para cumplir con los requisitos de seguridad del sitio, el administrador realiza los siguientes pasos:
Crea, si es necesario, una nueva agrupación ZFS para almacenar los logs de auditoría cifrados.
Genera una clave de cifrado.
Crea el sistema de archivos de auditoría con el cifrado activado para almacenar los logs de auditoría y define el punto de montaje.
Configura la auditoría para utilizar el directorio de cifrado.
Refresca el servicio de auditoría para aplicar los nuevos valores de configuración.
# zpool create auditp mirror disk1 disk2 # pktool genkey keystore=file outkey=/filename keytype=aes keylen=256 # zfs create -o encryption=aes-256-ccm \ -o keysource=raw,file:///filename \ -o compression=on -o mountpoint=/audit auditp/auditf # auditconfig -setplugin audit_binfile p_dir=/audit/ # audit -s
Debe hacer una copia de seguridad y proteger el archivo donde se almacena la clave, como filename en el ejemplo.
Cuando el administrador crea sistemas de archivos adicionales en el sistema de archivos auditf, estos sistemas de archivos descendientes también se cifran.
Ejemplo 4-2 Configuración de una cuota en el directorio /var/auditEn este ejemplo, el administrador define una cuota en el sistema de archivos de auditoría predeterminado. Cuando se alcanza esta cuota, la secuencia de comandos audit_warn advierte al administrador de la auditoría.
# zfs set quota=252G rpool/var/audit