Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Distributed Systems Administration Utilities: Guía del usuario > Capítulo 3 Registro consolidado

Seguridad de los archivos de registro consolidados
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

En un sistema HP-UX estándar, todos los usuarios pueden consultar el archivo /var/adm/syslog/syslog.log local del sistema. El acceso a los archivos de registro consolidados normalmente está restringido. El propio sistema servidor de consolidación de archivos de registro habitualmente es un sistema de acceso restringido con estrictas directivas de seguridad en vigor.

Medidas de protección de los archivos de registro

Un grado de protección abarca los permisos de los propios archivos de registro consolidados. Esto se controla por medio del archivo syslog-ng.conf.server. Se pueden especificar permisos específicos para cada destino del «archivo» syslog-ng. Si no existe el directorio de registro para un archivo consolidado, se le pueden dar instrucciones a syslog-ng para que lo cree [create_dirs(yes)] y definir la titularidad del directorio, así como los permisos correspondientes al directorio. Por ejemplo:

destination d_file { file(“/clog/test/example.log” );
 dir_owner(root);
 dir_group(sys);
 dir_perm(0600);
 owner(root);
 group(sys);
 perm(0600);
};

Reenvío a través de un puerto ssh

El reenvío a través de un puerto ssh configura un túnel para el tráfico de archivos de registro entre el cliente de reenvío de archivos de registro de syslog-ng y el servidor de consolidación de archivos de registro de syslog-ng. Este túnel basado en ssh sólo está disponible cuando se utiliza el transporte mediante el protocolo TCP, no el transporte mediante el protocolo UDP. Tampoco se utiliza el reenvío a través de un puerto ssh cuando se reenvía el tráfico de archivos de registro en el marco de un clúster Serviceguard (de un miembro a otro). Para el tráfico de archivos de registro intraclúster, se utiliza el transporte mediante el protocolo TCP o UDP estándar.

El reenvío a través de un puerto ssh es transparente para syslog-ng. El archivo /etc/syslog-ng.conf.client se configura de modo que syslog-ng reenvíe el tráfico de archivos de registro a un puerto local administrado por ssh. El puerto ssh local conecta con el demonio sshd remoto en el servidor de consolidación de archivos de registro y sshd abre el puerto TCP de syslog-ng estándar. La consolidación de archivos de registro remota cree que tiene un cliente de reenvío de archivos de registro estándar y no es consciente de la realización del túnel.

Un problema con la definición del túnel basado en ssh está relacionado con el error del servidor de consolidación de archivos de registro. Si el servidor de syslog-ng se detiene o se bloquea, los túneles ssh remotos se desconectan. Los túneles ssh cliente volverán a intentar la conexión a intervalos de un minuto. El tiempo de reconexión es configurable.

Cada intento de reconexión infructuoso se registra en el archivo syslog.log local del cliente. Durante este tiempo, el archivo de registro de cliente (/var/adm/syslog/syslog-ng.log) de syslog-ng mostrará a éste tratando de volver a conectar con el túnel. El tiempo de reconexión por defecto es de 10 segundos. Este valor se puede configurar con ayuda del parámetro «time_reopen(segundos)» de ajuste global de syslog-ng. Para obtener detalles, consulte el manual de referencia de código fuente abierto de syslog-ng (/opt/dsau/doc/syslog-ng).

Reenvío a través de un puerto ssh a un consolidador de archivos de registro de un clúster Serviceguard

Cuando se utiliza el reenvío a través de un puerto ssh teniendo como servidor de consolidación de archivos de registro un clúster Serviceguard, se precisa una configuración especial de ssh.

En general, el uso del reenvío a través de un puerto ssh necesita que el servidor de consolidación de archivos de registro efectúe un intercambio de claves con el cliente de reenvío de archivos de registro. En concreto, la clave pública de ssh para el cliente de reenvío de archivos de registro remoto debe agregarse en el archivo de claves autorizadas del servidor de consolidación. Además, se agrega la huella dactilar correspondiente al servidor de consolidación de archivos de registro en el archivo /.ssh/known_hosts del cliente de reenvío de archivos de registro. El reenviador de archivos de registro cliente es un sistema de confianza después de este intercambio de claves y el servidor de consolidación no necesita solicitar ninguna contraseña ssh al llegar a este punto.

Puesto que el servidor de consolidación es un paquete, en potencia puede ejecutarse en todos los miembros del clúster. Este intercambio de claves entre el cliente de reenvío de archivos de registro remoto y un miembro del clúster debe repetirse para cada miembro del clúster. Cada miembro del clúster tiene que establecer la misma relación de confianza con los clientes de reenvío de archivos de registro.

Puede surgir un problema con las huellas dactilares del archivo known_host del cliente de reenvío de archivos de registro. Al utilizar una dirección IP reubicable de un paquete para el intercambio de claves ssh inicial, se agregará la huella dactilar del nodo adoptivo en el archivo /.ssh/known_hosts local del cliente. Cuando el paquete realice una conmutación por error y la conexión ssh se restablezca, el nuevo nodo adoptivo tendrá una huella dactilar diferente y ssh detectará esto como un ataque «man-in-the-middle» (hombre en el medio) y se negará a restablecer el túnel ssh.

Para evitarlo, debe parecer que cada miembro del clúster es el mismo sistema desde el punto de vista de los clientes de reenvío de archivos de registro. Esto se puede conseguir haciendo que cada miembro del clúster utilice una clave de host idéntica. Las claves de host de ssh se ubican en el directorio /opt/ssh/etc y las contienen los siguientes archivos:

  • ssh_host_key

  • ssh_host_key.pub

  • ssh_host_dsa_key

  • ssh_host_dsa_key.pub

  • ssh_host_rsa_key

  • ssh_host_rsa_key.pub

Elija uno de los miembros del clúster y copie estos archivos en el mismo directorio ubicado en los demás miembros del clúster. El uso de la herramienta «cluster copy» o ccp agiliza esta acción:

# cd /opt/ssh/etc/

# ccp ssh_host_* /opt/ssh/etc/

A continuación, en cada cliente de consolidación de archivos de registro, efectúe un intercambio de claves ssh estándar con la dirección IP reubicable del paquete clog. Una forma de hacerlo consiste en utilizar la herramienta csshsetup (consulte la página de manual de csshsetup(1)) como sigue:

# csshsetup nombre_DNS_del_paquete_clog

csshsetup solicitará la contraseña del clúster para efectuar el intercambio de claves inicial.

Uso del puerto de red de clog

syslog y syslog-ng necesitan que haya disponibles puertos de red específicos para que el funcionamiento sea correcto. Estos puertos son:

  • UDP 514: este puerto lo utilizan los clientes de syslogd para reenviar mensajes de registro.

  • Puerto TCP puerto_seleccionado: el administrador elige qué puerto TCP utiliza un consolidador de archivos de registro de syslog-ng para recibir mensajes.

  • Puerto TCP 22: al utilizar el reenvío a través de un puerto ssh para crear túneles cifrados, los clientes remotos establecen comunicación con el demonio sshd del servidor de consolidación de archivos de registro. En una configuración por defecto, dicho demonio escucha en el puerto TCP 22.

Utilización de Bastille para fortalecer el sistema

Bastille es una herramienta de cierre para el fortalecimiento de la seguridad que se puede utilizar para hacer más seguro el sistema operativo HP-UX. Ofrece cierre personalizado sistema a sistema al permitir al administrador elegir qué características de seguridad han de habilitarse o deshabilitarse en las listas de comprobación de fortalecimiento/cierre.

Bastille se puede utilizar para fortalecer un servidor de consolidación de archivos de registro habilitando herramientas de seguridad, por ejemplo, el filtrado IP. Si el filtrado IP está habilitado, los puertos descritos en la sección «Uso del puerto de red de clog» no deben bloquearse.

Asimismo, Bastille plantea las siguientes preguntas que repercuten en un sistema de consolidación de archivos de registro:

Do you want to BLOCK incoming Secure Shell connections with IPFilter?

Al configurar un servidor de consolidación de archivos de registro, conteste No a la pregunta si prevé admitir clientes que utilicen las conexiones con el servidor utilizando transporte mediante el protocolo tcp y el túnel configurado por ssh.

Would you like to restrict the system logging daemon to local connections?

Al contestar sí («yes») a esta pregunta, se agrega la opción -N a /etc/syslog.conf. Al configurar un servidor de consolidación de archivos de registro, se necesita esta opción. El asistente clog_wizard la agrega automáticamente; las instrucciones de la configuración manual también explican las modificaciones apropiadas de /etc/syslog.conf.



Deshabilitación de la consolidación de archivos de registro
  		 


Consulta de los archivos de registro consolidados  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© Hewlett-Packard Development Company, L.P.