Para configurar la auditoria a nivel C2 de Solaris es necesario
habilitar
el módulo de seguridad
básica o BSM (Basic Security
Module). 1. Asegurarse de que aún no se encuentra habilitado BSM (el siguiente comando no debe devolver ninguna salida): grep c2audit /etc/system 2. Habilitar BSM: /etc/security/bsmconv 3. Revisar que se haya creado el directorio /var/audit: ls -ld /var/audit drwxr-xr-x 2 root sys 512 Jul 12 22:23 /var/audit ls -l /var/audit total 2 -rw------- 1 root root 56 Jul 12 22:23 20050713032312.not_terminated.hostname 4. Configurar en el archivo /etc/security/audit_control las siguientes clases de eventos a ser auditadas: # vi /etc/security/audit_control 5. Crear el script /etc/security/newauditlog.sh: vi /etc/security/newauditlog.sh #!/sbin/sh # # newauditlog.sh - Start a new audit file and expire the old logs PATH=/usr/bin:/usr/sbin # # If the disk space isn't sufficient to retain logs on a month, # lower this value from 30 to 7 AUDIT_EXPIRE=30 AUDIT_DIR="/var/audit" LOG_DIR=/var/audit/logs# Rotate the log file audit -n # Move the log files to the archive directory and compress for i in `ls ${AUDIT_DIR} | grep -v not_terminated | grep -v logs` do compress ${AUDIT_DIR}/${i} mv ${AUDIT_DIR}/${i}.Z ${LOG_DIR}/${i}.Z done # Delete old log files cd ${AUDIT_DIR} # in case it is a link find . ${LOG_DIR} -type f -mtime +${AUDIT_EXPIRE} \ -exec rm {} > /dev/null 2>&1 \; exit 06. Configurar la siguiente línea de crontab para el usuario root: 0 0 * * * /etc/security/newauditlog.sh 7. Reiniciar el sistema: /usr/sbin/shutdown -y -g 0 -i 6 8. Los archivos de auditoria  generados pueden ser leídos con el comando praudit |
COPIA DE ARCHIVOS EN UNA UNIDAD DE CINTA REMOTA (tar y dd)
# tar cvf - * | rsh remote-host dd of=/dev/rmt/0 obs=126b
EXTRAER ARCHIVOS DE UN DISPOSITIVO DE CINTA REMOTO
Inserte la cinta en la unidad de cinta.
Cambie a un directorio temporal.
$ cd /var/tmp
Extraiga los archivos de un dispositivo de cinta remoto.
$ rsh remote-host dd if=/dev/rmt/n | tar xvBpf -
CÓMO COPIAR TODOS LOS ARCHIVOS DE UN DIRECTORIO EN UNA CINTA (cpio)
$ ls -l | cpio -oc > /dev/rmt/0n
Compruebe que los archivos se hayan copiado en la cinta.
$ cpio -civt < /dev/rmt/0n
Cómo recuperar todos los archivos de una cinta (cpio)
Cambie al directorio donde desea colocar los archivos.
Extraiga todos los archivos de la cinta.
$ cpio -icvd < /dev/rmt/0n