En este proceso, puede configurar un sistema remoto, el servidor de auditoría remoto (ARS), para recibir y almacenar los registros de auditoría de uno o más sistemas auditados. A continuación, debe activar el daemon de auditoría en el servidor remoto.
La configuración es doble. En primer lugar, configure los mecanismos de seguridad subyacentes para transportar de modo seguro los datos de auditoría, es decir, configure el KDC. En segundo lugar, se debe configurar el servicio de auditoría en el sistema auditado y el ARS. En este procedimiento, se ilustra un caso con un cliente auditado y un ARS, en el que el ARS y el KDC están en el mismo servidor. Del mismo modo, se pueden configurar escenarios más complejos. Los cuatro primeros pasos describen la configuración del KDC, mientras que el paso final describe la configuración del servicio de auditoría.
Antes de empezar
Asegúrese de haber cumplido con lo siguiente:
Ha asumido el rol de usuario root.
Ha instalado los paquetes Kerberos, como se describe en Cómo prepararse para transmitir los registros de auditoría al almacenamiento remoto.
Trabaja con un administrador que tiene configurado el sistema auditado, como se describe en Cómo enviar archivos de auditoría a un repositorio remoto.
Necesita un KDC en un sistema que tanto el sistema auditado y el ARS pueden utilizar, un principal de host para cada sistema y un principal de servicio audit. El siguiente ejemplo ilustra una estrategia de configuración de KDC:
arstore # kdcmgr -a audr/admin -r EXAMPLE.COM create master
Este comando usa el principal administrativo audr/admin para crear un KDC maestro en el dominio EXAMPLE.COM, activa el KDC maestro e inicia el servicio Kerberos.
Para obtener más información, consulte la página del comando man kdcmgr(1M).
# kdcmgr status KDC Status Information -------------------------------------------- svc:/network/security/krb5kdc:default (Kerberos key distribution center) State: online since Wed Feb 29 01:59:27 2012 See: man -M /usr/share/man -s 1M krb5kdc See: /var/svc/log/network-security-krb5kdc:default.log Impact: None. KDC Master Status Information -------------------------------------------- svc:/network/security/kadmin:default (Kerberos administration daemon) State: online since Wed Feb 29 01:59:28 2012 See: man -M /usr/share/man -s 1M kadmind See: /var/svc/log/network-security-kadmin:default.log Impact: None. Transaction Log Information -------------------------------------------- Kerberos update log (/var/krb5/principal.ulog) Update log dump : Log version # : 1 Log state : Stable Entry block size : 2048 Number of entries : 13 First serial # : 1 Last serial # : 13 First time stamp : Wed Feb 29 01:59:27 2012 Last time stamp : Mon Mar 5 19:29:28 2012 Kerberos Related File Information -------------------------------------------- (Displays any missing files)
Puede agregar el principal escribiendo el comando kadmin.local en el sistema KDC. O bien, puede agregar de forma remota el principal mediante el comando kadmin y una contraseña. En este ejemplo, el sistema arstore está ejecutando el KDC.
# kadmin -p audr/admin kadmin: addprinc -randkey audit/arstore.example.com@EXAMPLE.COM kadmin: ktadd audit/arstore.example.com@EXAMPLE.COM
El destinatario y el remitente deben tener claves.
enigma # kclient .. Enter the Kerberos realm: EXAMPLE.COM .. KDC hostname for the above realm: arstore.example.com .. Will this client need service keys ? [y/n]: y
# auditconfig -setremote group create Bank_A
Bank_A es un grupo de conexión. Como el atributo hosts no está definido, este grupo acepta todas las conexiones, lo que significa que es un grupo comodín. Cualquier sistema auditado en este dominio Kerberos cuyo complemento audit_remote esté correctamente configurado puede alcanzar este ARS.
# auditconfig -setremote group Bank_A "hosts=enigma.example.com"
El grupo de conexión Bank_A ahora sólo acepta conexiones del sistema enigma. Una conexión de cualquier otro host se rechaza.
# auditconfig -setremote group Bank_A "binfile_fsize=4GB" # auditconfig -getremote Audit Remote Server Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0; Connection group: Bank_A (inactive) Attributes: binfile_dir=/var/audit;binfile_fsize=4GB;binfile_minfree=1; hosts=enigma.example.com;
Para especificar el ARS, utilice el atributo p_hosts.
enigma # auditconfig -setplugin audit_remote \ active p_hosts=arstore.example.com enigma # auditconfig -getplugin audit_remote Plugin: audit_remote Attributes: p_retries=3;p_timeout=5;p_hosts=arstore.example.com;
El servicio de auditoría lee el cambio de complemento de auditoría después del refrescamiento.
# audit -s
El KDC ahora gestiona la conexión entre el sistema auditado enigma y el ARS.
En este ejemplo, se amplía el ejemplo en el procedimiento. El administrador separa los registros de auditoría por host en el ARS mediante la creación de dos grupos de conexión.
Los archivos de auditoría de la transmisión audsys1 al grupo de conexiones Bank_A en este ARS.
arstore # auditconfig -setremote group create Bank_A arstore # auditconfig -setremote group active Bank_A "hosts=audsys1" \ "hosts=audsys1;binfile_dir=/var/audit/audsys1;binfile_fsize=4M;"
Los archivos de auditoría de audsys2 se transmiten al grupo de conexión Bank_B.
arstore # auditconfig -setremote group create Bank_B arstore # auditconfig -setremote group active Bank_B \ "hosts=audsys2;binfile_dir=/var/audit/audsys2;binfile_fsize=4M;"
Para facilitar las tareas de mantenimiento, el administrador establece otros valores de atributo de la misma forma.
arstore # auditconfig -getremote Audit Remote Server Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0; Connection group: Bank_A Attributes: binfile_dir=/var/audit/audsys1;binfile_fsize=4M;binfile_minfree=1; hosts=audsys1 Connection group: Bank_B Attributes: binfile_dir=/var/audit/audsys2;binfile_fsize=4M;binfile_minfree=1; hosts=audsys2Ejemplo 4-10 Colocación del ARS en un sistema diferente de KDC
En este ejemplo, el administrador coloca el ARS en un sistema diferente del KDC. En primer lugar, el administrador crea y configura el KDC maestro.
kserv # kdcmgr -a audr/admin -r EXAMPLE.COM create master kserv # kadmin.local -p audr/admin kadmin: addprinc -randkey \ audit/arstore.example.com@EXAMPLE.COM kadmin: ktadd -t /tmp/krb5.keytab.audit \ audit/arstore.example.com@EXAMPLE.COM
Después de transmitir de manera segura el archivo /tmp/krb5.keytab.audit al ARS, arstore, el administrador mueve el archivo a la ubicación correcta.
arstore # chown root:root krb5.keytab.audit arstore # chmod 600 krb5.keytab.audit arstore # mv krb5.keytab.audit /etc/krb5/krb5.keytab
En lugar de volver a escribir el archivo, el administrador también tiene la opción de utilizar el comando ktutil en el ARS para fusionar el archivo krb5.keytab.audit del KDC con las claves existentes en el archivo /etc/krb5/krb5.keytab de arstore.
Por último, el administrador genera claves en el sistema auditado.
enigma # kclient .. Enter the Kerberos realm: EXAMPLE.COM .. KDC hostname for the above realm: kserv.example.com .. Will this client need service keys ? [y/n]: y