Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo crear sistemas de archivos ZFS para archivos de auditoría

El procedimiento siguiente muestra cómo crear una agrupación ZFS para los archivos de auditoría, así como los sistemas de archivos y los puntos de montaje correspondientes. De manera predeterminada, el sistema de archivos /var/audit contiene archivos de auditoría para el complemento audit_binfile.

Antes de empezar

Debe convertirse en un administrador al que se le ha asignado perfiles de derechos de gestión de sistemas de archivos ZFS y gestión de almacenamiento ZFS. El último perfil permite crear agrupaciones de almacenamiento. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Determine la cantidad de espacio en disco que sea necesaria.

    Asigne, por lo menos, 200 MB de espacio en disco por host. Sin embargo, la cantidad de auditoría que necesita es la que dicta los requisitos de espacio en disco. Los requisitos de espacio en disco pueden ser mucho mayores que los que indica esta figura.

    Notas -  La preselección de clases predeterminada crea archivos en /var/audit que aumentan en 80 bytes aproximadamente por cada instancia registrada de un evento en la clase lo, como un inicio de sesión, un cierre de sesión o una asunción de rol.
  2. Cree una agrupación de almacenamiento ZFS reflejada.

    El comando zpool create crea una agrupación de almacenamiento, es decir, un contenedor para los sistemas de archivos ZFS. Para obtener más información, consulte el Capítulo 1, Sistema de archivos ZFS de Oracle Solaris (introducción) de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .

    # zpool create audit-pool mirror disk1 disk2

    Por ejemplo, cree la agrupación auditp de dos discos, c3t1d0 y c3t2d0, y refléjelos.

    # zpool create auditp mirror c3t1d0 c3t2d0
  3. Cree un sistema de archivos ZFS y un punto de montaje para los archivos de auditoría.

    Cree el sistema de archivos y el punto de montaje con un comando. En el momento de la creación, se monta el sistema de archivos. Por ejemplo, la siguiente ilustración muestra el almacenamiento de pista de auditoría almacenado por nombre de host.


    image:El gráfico muestra un directorio root de auditoría cuyos nombres de directorio principales son nombres de host.
    Notas -  Si tiene previsto cifrar el sistema de archivos, debe cifrar el sistema de archivos en el momento de la creación. Si desea ver un ejemplo, consulte el Example 4–1.

    El cifrado requiere gestión. Por ejemplo, una frase de contraseña se requiere en el momento del montaje. Para obtener más información, consulte Cifrado de sistemas de archivos ZFS de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .

    # zfs create -o mountpoint=/mountpoint audit-pool/mountpoint

    Por ejemplo, cree el punto de montaje /audit para el sistema de archivos auditf.

    # zfs create -o mountpoint=/audit auditp/auditf
  4. Cree un sistema de archivos ZFS para los archivos de auditoría. 
    # zfs create -p auditp/auditf/system

    Por ejemplo, cree un sistema de archivos ZFS sin cifrar para el sistema sys1.

    # zfs create -p auditp/auditf/sys1
  5. (Opcional) Cree sistemas de archivos adicionales para archivos de auditoría.

    Un motivo para crear sistemas de archivos adicionales es evitar el desbordamiento de la auditoría. Puede establecer una cuota ZFS por sistema de archivos, como se muestra en el Step 8. El alias de correo electrónico audit_warn le notifica cuando se alcanza cada cuota. Para liberar espacio, puede mover los archivos de auditoría cerrados a un servidor remoto.

    # zfs create -p auditp/auditf/sys1.1

# zfs create -p auditp/auditf/sys1.2
  6. Proteja el sistema de archivos de auditoría principal.

    Las siguientes propiedades ZFS se establecen en off para todos los sistemas de archivos en la agrupación:

    # zfs set devices=off auditp/auditf

# zfs set exec=off auditp/auditf

# zfs set setuid=off auditp/auditf
  7. Comprima los archivos de auditoría en la agrupación.

    Normalmente, la compresión está definida en ZFS, en el nivel del sistema de archivos. Sin embargo, debido a que todos los sistemas de archivos de esta agrupación contienen archivos de auditoría, la compresión se establece en el conjunto de datos de nivel superior para la agrupación.

    # zfs set compression=on auditp

    Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .

  8. Defina las cuotas.

    Puede definir cuotas en el sistema de archivos principal, los sistemas de archivos descendientes o en ambos. Si define una cuota en el sistema de archivos de auditoría principal, las cuotas en los sistemas de archivos descendientes imponen un límite adicional.

    1. Defina una cuota en el sistema de archivos de auditoría principal.

      En el siguiente ejemplo, cuando ambos discos en la agrupación auditp alcanzan la cuota, la secuencia de comandos audit_warn notifica al administrador de la auditoría.

      # zfs set quota=510G auditp/auditf
    2. Defina una cuota en los sistemas de archivos de auditoría descendientes.

      En el siguiente ejemplo, cuando se alcanza la cuota para el sistema de archivos auditp/auditf/system, la secuencia de comandos audit_warn notifica al administrador de la auditoría.

      # zfs set quota=170G auditp/auditf/sys1

# zfs set quota=170G auditp/auditf/sys1.1

# zfs set quota=165G auditp/auditf/sys1.2
  9. Para una agrupación grande, limite el tamaño de los archivos de auditoría.

    De manera predeterminada, un archivo de auditoría puede crecer hasta alcanzar el tamaño de la agrupación. Para facilitar la gestión, limite el tamaño de los archivos de auditoría. Consulte Example 4–3.

Ejemplo 4-1  Creación de un sistema de archivos cifrado para archivos de auditoría

Para cumplir con los requisitos de seguridad del sitio, el administrador realiza los siguientes pasos:

  1. Crea, si es necesario, una nueva agrupación ZFS para almacenar los logs de auditoría cifrados.

  2. Genera una clave de cifrado.

  3. Crea el sistema de archivos de auditoría con el cifrado activado para almacenar los logs de auditoría y define el punto de montaje.

  4. Configura la auditoría para utilizar el directorio de cifrado.

  5. Refresca el servicio de auditoría para aplicar los nuevos valores de configuración.


# zpool create auditp mirror disk1 disk2


# pktool genkey keystore=file outkey=/filename keytype=aes keylen=256

# zfs create -o encryption=aes-256-ccm \
-o keysource=raw,file:///filename \
-o compression=on -o mountpoint=/audit auditp/auditf

# auditconfig -setplugin audit_binfile p_dir=/audit/

# audit -s

Debe hacer una copia de seguridad y proteger el archivo donde se almacena la clave, como filename en el ejemplo.

Cuando el administrador crea sistemas de archivos adicionales en el sistema de archivos auditf, estos sistemas de archivos descendientes también se cifran.

Ejemplo 4-2  Configuración de una cuota en el directorio /var/audit

En este ejemplo, el administrador define una cuota en el sistema de archivos de auditoría predeterminado. Cuando se alcanza esta cuota, la secuencia de comandos audit_warn advierte al administrador de la auditoría.

# zfs set quota=252G rpool/var/audit
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente