Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo configurar un repositorio remoto para los archivos de auditoría

En este proceso, puede configurar un sistema remoto, el servidor de auditoría remoto (ARS), para recibir y almacenar los registros de auditoría de uno o más sistemas auditados. A continuación, debe activar el daemon de auditoría en el servidor remoto.

La configuración es doble. En primer lugar, configure los mecanismos de seguridad subyacentes para transportar de modo seguro los datos de auditoría, es decir, configure el KDC. En segundo lugar, se debe configurar el servicio de auditoría en el sistema auditado y el ARS. En este procedimiento, se ilustra un caso con un cliente auditado y un ARS, en el que el ARS y el KDC están en el mismo servidor. Del mismo modo, se pueden configurar escenarios más complejos. Los cuatro primeros pasos describen la configuración del KDC, mientras que el paso final describe la configuración del servicio de auditoría.

Antes de empezar

Asegúrese de haber cumplido con lo siguiente:

  1. Si en su sitio aún no se ha configurado un KDC, configure uno.

    Necesita un KDC en un sistema que tanto el sistema auditado y el ARS pueden utilizar, un principal de host para cada sistema y un principal de servicio audit. El siguiente ejemplo ilustra una estrategia de configuración de KDC:

    arstore # kdcmgr -a audr/admin -r EXAMPLE.COM create master
    

    Este comando usa el principal administrativo audr/admin para crear un KDC maestro en el dominio EXAMPLE.COM, activa el KDC maestro e inicia el servicio Kerberos.

  2. Verifique que el KDC esté disponible.

    Para obtener más información, consulte la página del comando man kdcmgr(1M).

    # kdcmgr status
    
    KDC Status Information
    --------------------------------------------
    svc:/network/security/krb5kdc:default (Kerberos key distribution center)
    State: online since Wed Feb 29 01:59:27 2012
    See: man -M /usr/share/man -s 1M krb5kdc
    See: /var/svc/log/network-security-krb5kdc:default.log
    Impact: None.
    
    KDC Master Status Information
    --------------------------------------------
    svc:/network/security/kadmin:default (Kerberos administration daemon)
    State: online since Wed Feb 29 01:59:28 2012
    See: man -M /usr/share/man -s 1M kadmind
    See: /var/svc/log/network-security-kadmin:default.log
    Impact: None.
    
    Transaction Log Information
    --------------------------------------------
    
    Kerberos update log (/var/krb5/principal.ulog)
    Update log dump :
    Log version # : 1
    Log state : Stable
    Entry block size : 2048
    Number of entries : 13
    First serial # : 1
    Last serial # : 13
    First time stamp : Wed Feb 29 01:59:27 2012
    Last time stamp : Mon Mar 5 19:29:28 2012
    
    
    Kerberos Related File Information
    --------------------------------------------
    (Displays any missing files)
  3. Agregue el principal del servicio audit al archivo keytab de KDC.

    Puede agregar el principal escribiendo el comando kadmin.local en el sistema KDC. O bien, puede agregar de forma remota el principal mediante el comando kadmin y una contraseña. En este ejemplo, el sistema arstore está ejecutando el KDC.

    # kadmin -p audr/admin
    
    kadmin: addprinc -randkey audit/arstore.example.com@EXAMPLE.COM
    
    kadmin: ktadd audit/arstore.example.com@EXAMPLE.COM
    
  4. En cada sistema auditado, agregue claves.

    El destinatario y el remitente deben tener claves.

    enigma # kclient
    
    .. Enter the Kerberos realm: 
    EXAMPLE.COM
    
    .. KDC hostname for the above realm: 
    arstore.example.com
    
    .. Will this client need service keys ? [y/n]: 
    y
    
  5. Configure el servicio de auditoría en el ARS.
    • Para crear un grupo que acepta los registros de auditoría de cualquier sistema auditado en el dominio Kerberos, asigne un nombre a un grupo de conexión.
      # auditconfig -setremote group create Bank_A
      

      Bank_A es un grupo de conexión. Como el atributo hosts no está definido, este grupo acepta todas las conexiones, lo que significa que es un grupo comodín. Cualquier sistema auditado en este dominio Kerberos cuyo complemento audit_remote esté correctamente configurado puede alcanzar este ARS.

    • Para limitar las conexiones a este grupo, especifique los sistemas auditados que pueden utilizar este repositorio.
      # auditconfig -setremote group Bank_A "hosts=enigma.example.com"
      

      El grupo de conexión Bank_A ahora sólo acepta conexiones del sistema enigma. Una conexión de cualquier otro host se rechaza.

    • Para evitar que un archivo de auditoría en este grupo sea demasiado grande, establezca un tamaño máximo.
      # auditconfig -setremote group Bank_A "binfile_fsize=4GB"
      
      # auditconfig -getremote
      Audit Remote Server
      Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0;
      Connection group: Bank_A (inactive)
      Attributes: binfile_dir=/var/audit;binfile_fsize=4GB;binfile_minfree=1;
      hosts=enigma.example.com;
  6. Configure el servicio de auditoría en el sistema auditado.

    Para especificar el ARS, utilice el atributo p_hosts.

    enigma # auditconfig -setplugin audit_remote \
         active p_hosts=arstore.example.com
    
    enigma # auditconfig -getplugin audit_remote
    Plugin: audit_remote
    Attributes: p_retries=3;p_timeout=5;p_hosts=arstore.example.com;
  7. Refresque el servicio de auditoría.

    El servicio de auditoría lee el cambio de complemento de auditoría después del refrescamiento.

    # audit -s

    El KDC ahora gestiona la conexión entre el sistema auditado enigma y el ARS.

Ejemplo 4-9  Transmisión por secuencias de registros de auditoría a diferentes ubicaciones de archivos en el mismo ARS

En este ejemplo, se amplía el ejemplo en el procedimiento. El administrador separa los registros de auditoría por host en el ARS mediante la creación de dos grupos de conexión.

Los archivos de auditoría de la transmisión audsys1 al grupo de conexiones Bank_A en este ARS.

arstore # auditconfig -setremote group create Bank_A

arstore # auditconfig -setremote group active Bank_A "hosts=audsys1" \
   "hosts=audsys1;binfile_dir=/var/audit/audsys1;binfile_fsize=4M;"

Los archivos de auditoría de audsys2 se transmiten al grupo de conexión Bank_B.

arstore # auditconfig -setremote group create Bank_B

arstore # auditconfig -setremote group active Bank_B \
"hosts=audsys2;binfile_dir=/var/audit/audsys2;binfile_fsize=4M;"

Para facilitar las tareas de mantenimiento, el administrador establece otros valores de atributo de la misma forma.

arstore # auditconfig -getremote
Audit Remote Server
Attributes: listen_address=;login_grace_time=30;max_startups=10;listen_port=0;

Connection group: Bank_A
Attributes: binfile_dir=/var/audit/audsys1;binfile_fsize=4M;binfile_minfree=1;
hosts=audsys1

Connection group: Bank_B
Attributes: binfile_dir=/var/audit/audsys2;binfile_fsize=4M;binfile_minfree=1;
hosts=audsys2
Ejemplo 4-10  Colocación del ARS en un sistema diferente de KDC

En este ejemplo, el administrador coloca el ARS en un sistema diferente del KDC. En primer lugar, el administrador crea y configura el KDC maestro.

kserv # kdcmgr -a audr/admin -r EXAMPLE.COM create master

kserv # kadmin.local -p audr/admin

kadmin: addprinc -randkey \
audit/arstore.example.com@EXAMPLE.COM

kadmin: ktadd -t /tmp/krb5.keytab.audit \
     audit/arstore.example.com@EXAMPLE.COM

Después de transmitir de manera segura el archivo /tmp/krb5.keytab.audit al ARS, arstore, el administrador mueve el archivo a la ubicación correcta.

arstore # chown root:root krb5.keytab.audit

arstore # chmod 600 krb5.keytab.audit

arstore # mv krb5.keytab.audit /etc/krb5/krb5.keytab

En lugar de volver a escribir el archivo, el administrador también tiene la opción de utilizar el comando ktutil en el ARS para fusionar el archivo krb5.keytab.audit del KDC con las claves existentes en el archivo /etc/krb5/krb5.keytab de arstore.

Por último, el administrador genera claves en el sistema auditado.

enigma # kclient

.. Enter the Kerberos realm: EXAMPLE.COM

.. KDC hostname for the above realm: kserv.example.com

.. Will this client need service keys ? [y/n]: y