 |
» |
|
|
|
Un sistema
de confianza HP-UX incorpora una función de auditoría.
La auditoría es el registro selectivo de sucesos con el
propósito de analizar y detectar infracciones de seguridad. Se recomienda utilizar
el SAM para llevar a cabo todas las tareas relativas a la auditoría,
ya que dicha herramienta delimita las opciones y contribuye a evitar
errores. No obstante, todas las tareas de auditoría se pueden
llevar a cabo manualmente con los siguientes comandos de auditoría: | audsys | | Pone en marcha/detiene la auditoría; define
y muestra información sobre el archivo de auditoría.
Consulte la página de manual de audsys(1M). | | audusr | | Selecciona los usuarios que han de auditarse. Consulte
la página de manual de audusr(1M). | | audevent | | Cambia o muestra el estado de los sucesos o las
llamadas del sistema. Consulte la página de manual de audevent(1M). | | audomon | | Define los parámetros de control y tamaño
del archivo de auditoría. Consulte la página de
manual de audomon(1M). | | audisp | | Muestra el registro de auditoría. Consulte
la página de manual de audisp(1M). |
El manual HP-UX Reference aporta
información pormenorizada sobre estos comandos. El sistema suministra los parámetros de auditoría
por defecto durante la instalación. Algunos de estos valores
por defecto se activan automáticamente, mientras que otros
han de activarse manualmente. Si la auditoría está desactivada actualmente,
se habilitará al activar los cambios. Los cambios realizados
en la auditoría se conservan en forma de valores por defecto
nuevos durante el reinicio del sistema. Por defecto, cuando la auditoría
del sistema está activada, el estado de auditoría
es activado para todos los usuarios. Se somete automáticamente
a auditoría a los usuarios nuevos agregados al sistema.
Si desea que la auditoría se desactive para estos usuarios, debe
indicarlo explícitamente. Los cambios surten efecto en
el siguiente inicio de sesión del usuario. El sistema selecciona como valores por defecto los
tipos de sucesos admin, login y moddac. Las dos opciones Audit Success y Audit Failure están activadas. Ésta es la
selección mínima recomendada de tipos de sucesos
para trabajar con un sistema de confianza. Los tipos de sucesos
se enumeran en la Tabla 8-2, «Tipos de sucesos de auditoría y llamadas del sistema» y
en la Tabla 8-3, «Tipos de sucesos de auditoría y comandos del sistema». Se redacta un registro después de seleccionar para
auditoría el tipo de suceso y el usuario
que pone en marcha el suceso. El suceso login es una excepción. Una vez seleccionado,
este suceso se registra al margen de que el inicio de sesión
del usuario se haya seleccionado para auditoría o no. Al seleccionar un tipo de suceso, se habilitan automáticamente
las llamadas del sistema asociadas. En la Tabla 8-2, «Tipos de sucesos de auditoría y llamadas del sistema», se relacionan estas llamadas del sistema. Los siguientes parámetros de control y
registro de auditoría se facilitan con los valores por
defecto mostrados. Estos valores se pueden cambiar con el SAM o
los comandos de auditoría. Nombre
de ruta del archivo de registro principal = /.secure/etc/audfile1 Límite de conmutación del archivo
de registro principal (AFS) = 1000 KB Nombre de ruta del archivo de registro auxiliar
= /.secure/etc/audfile2 Límite de conmutación del archivo
de registro auxiliar (AFS) = 1000 KB Intervalo de reactivación del monitor =
1 minuto Espacio libre mínimo permitido (FSS) =
20 % (del sistema de archivos) Envío de mensajes de advertencia cuando
el archivo de registro llegue a un = 90 %
Para determinar el tamaño de los sistemas
de archivos, utilice el comando bdf. Elija un sistema de archivos con suficiente espacio
para alojar los archivos de registro de auditoría. Por
ejemplo, si se utilizan los valores por defecto facilitados con
el sistema: El sistema de archivos /.secure/etc debe tener disponibles más de 5000 KB
para el archivo de registro de auditoría principal; y Debe tener libre más del 20 %
del espacio para archivos.
Debe facilitar un nombre de ruta nuevo para el archivo
de registro auxiliar de auditoría. Se recomienda
ubicar los archivos de registro principal y auxiliar de auditoría
en sistemas de archivos independientes.
Tabla 8-2 Tipos de sucesos de auditoría y llamadas del sistema Tipo de suceso | Descripción de la acción | Llamadas del sistema asociadas |
|---|
admin | Se registran todos los sucesos administrativos
y con privilegios | acct(2), adjtime(2), audctl(2), audswitch(2), clock_settime(2), getksym(2), getprivgrp(2), kload(2)[1], modadm(2)[1], modload(2), modpath(2), modstat(2), moduload(2), mpctl(2), plock(2), reboot(2), sched_setparam(2), sched_setscheduler(2), serialize(2), setaudid(2), setaudproc(2), setdomainname(2), setevent(2), sethostid(2), setprivgrp(2), setrlimit(2), setrlimit64(2), settimeofday(2), spuctl(2)[1], stime(2),
swapon(2), toolbox(2)[1], utssys(2)[1] | close | Se registran todos los cierres de objetos
(cierre de archivos, cierre de otros objetos) | close(2), ksem_close(2)[1], mq_close(2), munmap(2) | create | Se registran todas las creaciones de
objetos (archivos, directorios, otros objetos de archivo) | creat(2), mkdir(2), mknod(2), msgget(2), pipe(2), semget(2), shmat(2), shmget(2), symlink(2) | delete | Se registran todas las eliminaciones
de objetos (archivos, directorios, otros objetos de archivo) | ksem_unlink(2)[1], mq_unlink(2), msgctl(2), rmdir(2), semctl(2), shm_unlink(2) | ipcclose | Se registran todos los sucesos ipc close | fdetach(3C), shutdown(2) | ipccreat | Se registran todos los sucesos ipc create | bind(2), socket(2), socket2(2)[1], socketpair(2), socketpair2(2)[1] | ipcopen | Se registran todos los sucesos ipc open | accept(2), connect(2), fattach(3C) | modaccess | Se registran todas las modificaciones
de acceso excepto los controles de acceso discrecional | chdir(2), chroot(2), fchdir(2), link(2), lockf(2), lockf64(2), rename(2), setcontext(2), setgid(2), setgroups(2), setpgid(2), setpgrp(2), setpgrp2(2), setpgrp3(2), setregid(2), setresgid(2), setresuid(2), setsid(2), setuid(2), shmctl(2), shmdt(2), ulimit(2), ulimit64(2), unlink(2) | moddac | Se registran todas las modificaciones
de los controles de acceso discrecional del objeto | acl(2), chmod(2), chown(2), fchmod(2), fchown(2), fsetacl(2), lchmod(2)[1], lchown(2),
putpmsg(2), semop(2), setacl(2), umask(2) | open | Se registran todas las aperturas de objetos
(apertura de archivos, apertura de otros objetos) | execv(2), execve(2), ftruncate(2), ksem_open(2)[1], mmap(2),
mmap64(2), mq_open(2), open(2), ptrace(2), ptrace64(2), sendfile(2), sendfile64(2), shm_open(2), truncate(2), truncate64(2) | process | Se registran todas las operaciones relacionadas
con los procesos | exit(2), fork(2), kill(2), mlock(2), mlockall(2), munlock(2), munlockall(2), nsp_init(2)[1], rtprio(2),
setpriority(2), sigqueue(2), vfork(2) | | readac | Se registran todos los accesos a los controles
de acceso discrecional del objeto | access(2), fstat(2), fstat64(2), getaccess, lstat(2), lstat64(2), stat(2), stat64(2) | removable | Se registran todos los sucesos de medios
extraíbles (sucesos de montaje y desmontaje) | mount(2), umount(2), vfsmount(2) | | Se registran los sucesos definidos por
el usuario | Consulte la sección «Racionalización de los datos de
registro de auditoría» |
Tabla 8-3 Tipos de sucesos de auditoría y comandos del sistema Tipo de suceso | Descripción de la acción | Comandos del sistema asociados |
|---|
admin | Se registran todos los sucesos administrativos
y con privilegios | sam(1M), audisp(1M), audevent(1M), audsys(1M), audusr(1M), chfn(1), chsh(1), passwd(1), pwck(1M), init(1M) | ipcdgram | Se registran las transacciones de datagramas
ipc | udp(7P) | login | Se registran todos los inicios de sesión
y los cierres de sesión | login(1), init(1M) | modaccess | Se registran todas las modificaciones
de acceso excepto los controles de acceso discrecional | newgrp(1) | open | Se registran todas las aperturas de objetos
(apertura de archivos, apertura de otros objetos) | lpsched(1M) | removable | Se registran todos los sucesos de medios
extraíbles (sucesos de montaje y desmontaje) | exportfs(1M) | | Se registran los sucesos definidos por
el usuario | Consulte la sección «Racionalización de los datos de
registro de auditoría» |
Racionalización de los datos de
registro de auditoría | |
Ciertos procesos llaman a una serie de acciones susceptibles
de auditoría. Para disminuir la cantidad de datos de registro
de auditoría reunidos y proporcionar notaciones más
significativas en los archivos de registro de auditoría,
parte de dichos procesos se programan para suspender la auditoria
de las acciones a las que llaman y generar una entrada de registro
de auditoría que describa el proceso acaecido. Los procesos programados
de esta forma se llaman procesos de autoauditoría;
por ejemplo, el programa login. Los siguientes procesos presentan capacidad de
autoauditoría: Procesos de autoauditoría| chfn | | Cambia la entrada finger; consulte la página de manual de chfn(1) | | chsh | | Cambia el shell de inicio de sesión; consulte
la página de manual de chsh(1) | | login | | La utilidad de inicio de sesión; consulte
la página de manual de login(1) | | newgrp | | Cambia el grupo efectivo; consulte la página
de manual de newgrp(1) | | passwd | | Cambia la contraseña; consulte la página
de manual de passwd(1) | | audevent | | Selecciona sucesos para auditarlos; consulte la
página de manual de audevent(1M) | | audisp | | Presenta los datos de auditoría; consulte
la página manual de audisp(1M) | | audsys | | Inicia o detiene el sistema de auditoría;
consulte la página de manual de audsys(1M) | | audusr | | Selecciona usuarios para auditarlos; consulte la
página de manual de audusr(1M) | | init | | Cambia los niveles de ejecución, después
del cierre de sesión de los usuarios; consulte la página
de manual de init(1M) | | lpsched | | Programa solicitudes de la impresora de líneas; consulte
la página de manual de lpsched(1M) | | fbackup | | Copia de seguridad flexible de archivos; consulte
la página de manual de fbackup(1M) | | ftpd | | Demonio de protocolo de transferencia de archivos; consulte
la página de manual de ftpd(1M) | | remshd | | Demonio de servidor de shell remoto; consulte la
página de manual de remshd(1M) | | rlogind | | Demonio de servidor de inicio de sesión
remoto; consulte la página de manual de rlogind(1M) | | telnetd | | Demonio de servidor telnet; consulte la página
de manual de telnetd(1M) |
Programas
de autoauditoría | |
Los
programas de autoauditoría sirven para racionalizar los
datos de auditoría reunidos. Por tanto, los tipos de sucesos UEVENT1, UEVENT2 y UEVENT3 se
reservan para los programas de autoauditoría que usted
desee escribir. Puede escribir sus propios
programas "setuid a root" para racionalizar los datos de auditoría
con las llamadas del sistema audswitch() y audwrite(). Puede suspender la auditoría (audswitch(AUD_SUSPEND)), elegir puntos clave del programa para generar un registro
de auditoría (audwrite()) y, a continuación, reanudar la auditoría
normal (audswitch(AUD_RESUME)). Si el sistema de auditoría está desactivado
en el momento de ejecutar el programa, la llamada del sistema audwrite() responde con éxito, pero no se escribe ningún
registro de auditoría. Para obtener más información, consulte las
páginas de manual de audswitch(2) y audwrite(2). Archivos
de registro de auditoría | |
Todos los datos de auditoría se graban en un archivo
de registro de auditoría. Con el comando audsys, puede especificar un archivo de registro
principal y un archivo de registro auxiliar (opcional)
para reunir datos de auditoría (consulte la página
de manual de audsys(1M)). El demonio de
control de desbordamiento de auditoría, audomon, vigila atentamente el aumento de tamaño de
estos archivos para garantizar que no se pierda ningún
dato de auditoría. El archivo
de registro principal es el lugar donde empiezan a reunirse los registros
de auditoría. Cuando este archivo se acerca a una capacidad predefinida
(su límite de conmutación de archivo de auditoría:
Audit File Switch - AFS) o cuando el sistema de archivos donde está ubicado
se aproxima a una capacidad predefinida (su límite de conmutación
de espacio de archivos: File Space Switch - FSS), el subsistema
de auditoría emite un mensaje de advertencia. Cuando se
llega al límite de conmutación del archivo de
auditoría o bien al límite de conmutación
de espacio de archivos del archivo de registro principal, el subsistema
de auditoría trata de conmutar al archivo de registro auxiliar
para dejar constancia de los datos de auditoría. Si no
se especifica ningún archivo de registro auxiliar, el archivo
de registro principal sigue aumentando de tamaño. Si
hay otras actividades que consumen espacio del sistema de archivos
o el sistema de archivos elegido no dispone de suficiente espacio
para el límite de conmutación de archivo de auditoría
(AFS) indicado, se puede alcanzar el límite de conmutación
de espacio de archivos (FSS) antes que el límite AFS. Si el archivo de registro principal de auditoría
sigue aumentando de tamaño y rebasa el límite
FSS, puede alcanzarse un parámetro definido por el sistema: minfree.
Al llegar a este punto, todas las acciones susceptibles
de auditoría se suspenden para los usuarios normales. Restaure
el funcionamiento del sistema archivando los datos de auditoría o
especificando un nuevo archivo de registro de auditoría
en un sistema de archivos con espacio. Consulta
de los archivos de registro de auditoría | |
La auditoría acumula muchos datos. El SAM le da la
oportunidad de seleccionar los datos que desee consultar. Se pueden
seleccionar los siguientes elementos: Que la salida del archivo de registro
se dirija la pantalla o a un archivo. El nombre del archivo al que ha de dirigirse la
salida del archivo de registro. La consulta de sucesos fructuosos o infructuosos. El archivo de registro que desee leer. El inicio de sesión de usuario que desee
consultar. El dispositivo de terminal que desee consultar. Los sucesos o las llamadas del sistema que desee
consultar.
Preparar el registro para su consulta puede llevar unos cuantos
minutos en el caso de archivos de registro de auditoría
grandes. Al consultar los datos de auditoría, tenga en
cuenta las siguientes anomalías: Es posible que parezca que los datos
de auditoría son inexactos cuando los programas que realizan
llamadas del sistema susceptibles de auditoría facilitan
parámetros incorrectos. Por ejemplo, al llamar a la llamada
del sistema kill() sin ningún parámetro (es decir, kill()), se generan valores imprevisibles en la sección
de parámetros del registro de auditoría. Los datos de auditoría muestran lo que el programa
de usuario ha transmitido al kernel. En este caso, no se ha inicializado
lo que se ha transmitido debido a un error de código de
usuario, pero el sistema de auditoría sigue mostrando correctamente
los valores no inicializados que se han utilizado. Es posible que, en el caso de las llamadas del sistema
que acepten nombres de archivo como argumentos, la información
sobre dispositivos e inodos no se registre correctamente. Los valores
serán iguales a cero si la llamada no se completa satisfactoriamente. La auditoría del superusuario mientras
se utiliza la interface del SAM para cambiar parámetros
de un suceso o una llamada del sistema generará un registro
de auditoría largo. Por ejemplo, al agregar un tipo de
suceso para auditarlo en el SAM, se generará un registro
para cada tipo de suceso y llamada del sistema que se haya habilitado
para auditoría, no sólo para
el tipo de suceso nuevo en proceso de adición.
Pautas
para administrar el sistema de auditoría | |
Se recomienda observar las siguientes pautas al administrar
el sistema: Compruebe los archivos de registro de auditoría como
mínimo una vez al día. Los archivos de auditoría
en línea deben conservarse durante al menos 24 horas
y todos los registros de auditoría almacenados sin conexión
deben preservarse durante un mínimo de 30 días. Examine el archivo de registro de auditoría
en busca de actividades poco comunes, como: inicios de sesión
nocturnos, errores de inicio de sesión, errores de acceso
a los archivos del sistema e intentos infructuosos para llevar a
cabo tareas relacionadas con la seguridad. Archive diariamente para evitar que el archivo de
auditoría se desborde. Revise cada cierto tiempo los sucesos seleccionables
actuales, sobre todo después de instalar revisiones nuevas
de HP-UX, ya que es frecuente que se incorporen llamadas
del sistema nuevas a las revisiones nuevas. Revise cada cierto tiempo la selección
de usuarios para auditar. No siga ningún modelo ni programa en cuanto
a la selección de sucesos o usuarios. Defina las pautas que han de seguirse en el emplazamiento.
Implique a los usuarios y a la dirección en el establecimiento
de dichas pautas.
Consideraciones
sobre el rendimiento | |
La auditoría aumenta la sobrecarga del sistema. Cuando
el rendimiento sea motivo de preocupación, sea selectivo
a la hora de elegir los sucesos y los usuarios para auditar. Esto
puede contribuir a atenuar el impacto de la auditoría en
el rendimiento. |
Versión para imprimir
