JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del sistema: servicios de seguridad
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Control de acceso a dispositivos (tareas)

5.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

6.  Control de acceso a archivos (tareas)

7.  Uso de la herramienta automatizada de mejora de la seguridad (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Control de acceso basado en roles (referencia)

11.  Privilegios (tareas)

12.  Privilegios (referencia)

Parte IV Servicios criptográficos

13.  Estructura criptográfica de Oracle Solaris (descripción general)

14.  Estructura criptográfica de Oracle Solaris (tareas)

15.  Estructura de gestión de claves de Oracle Solaris

Parte V Servicios de autenticación y comunicación segura

16.  Uso de servicios de autenticación (tareas)

17.  Uso de PAM

18.  Uso de SASL

19.  Uso de Oracle Solaris Secure Shell (tareas)

20.  Oracle Solaris Secure Shell (referencia)

Parte VI Servicio Kerberos

21.  Introducción al servicio Kerberos

22.  Planificación del servicio Kerberos

23.  Configuración del servicio Kerberos (tareas)

24.  Mensajes de error y resolución de problemas de Kerberos

25.  Administración de las políticas y los principales de Kerberos (tareas)

26.  Uso de aplicaciones Kerberos (tareas)

27.  El servicio Kerberos (referencia)

Parte VII Auditoría de Oracle Solaris

28.  Auditoría de Oracle Solaris (descripción general)

29.  Planificación de la auditoría de Oracle Solaris

30.  Gestión de la auditoría de Oracle Solaris (tareas)

31.  Auditoría de Oracle Solaris (referencia)

Comandos de auditoría

Daemon auditd

Comando audit

Comando bsmrecord

Comando auditreduce

Comando praudit

Comando auditconfig

Archivos utilizados en el servicio de auditoría

Archivo system

Archivo syslog.conf

Archivo audit_class

Archivo audit_control

Archivo audit_event

Secuencia de comandos audit_startup

Base de datos audit_user

Secuencia de comandos audit_warn

Secuencia de comandos bsmconv

Perfiles de derechos para administración de auditoría

Auditoría y zonas de Oracle Solaris

Clases de auditoría

Definiciones de clases de auditoría

Sintaxis de la clase de auditoría

Complementos de auditoría

Política de auditoría

Características de auditoría de proceso

Pista de auditoría

Convenciones de nombres de archivos de auditoría binarios

Nombres de archivos de auditoría binarios

Indicadores de hora de archivos de auditoría binarios

Estructura de registro de auditoría

Análisis de registro de auditoría

Formatos de token de auditoría

Token acl

Token arbitrary (obsoleto)

Token arg

Token attribute

Token cmd

Token exec_args

Token exec_env

Token exit (obsoleto)

Token file

Token group (obsoleto)

Token groups

Token header

Token ip_addr

Token ip (obsoleto)

Token ipc

Token ipc_perm

Token iport

Token opaque (obsoleto)

Token path

Token path_attr

Token privilege

Token process

Token return

Token sequence

Token socket

Token subject

Token text

Token trailer

Token uauth

Token upriv

Token zonename

Glosario

Índice

Formatos de token de auditoría

Cada token de auditoría tienen un identificador de tipo de token, que está seguido por los datos específicos para el token. Cada tipo de token tiene su propio formato. La siguiente tabla muestra los nombres de token con una breve descripción de cada uno. Los tokens obsoletos se mantienen por motivos de compatibilidad con las versiones anteriores de Solaris.

Tabla 31-4 Tokens de auditoría para la auditoría de Oracle Solaris

Nombre de token
Descripción
Para obtener más información
acl
Información de lista de Control de Acceso (ACL)
arbitrary
Datos con información de formato y de tipo
arg
Valor de argumento de llamada de sistema
attribute
Tokens vnode de archivo
cmd
Argumentos de comandos y variables de entornos
exec_args
Argumentos de llamada de sistema exec
exec_env
Variables de entorno de llamada de sistema exec
exit
Información de salida de programa
file
Información de archivo de auditoría
group
Información de grupos de procesos
groups
Información de grupos de procesos
header
Indica el comienzo del registro de auditoría
ip_addr
Dirección de Internet
ip
Información de encabezado IP
ipc
Información de System V IPC
ipc_perm
Tokens de objeto de System V IPC
iport
Dirección de puerto de Internet
opaque
Datos no estructurados (sin especificar formato)
path
Información de ruta
path_attr
Información de ruta de acceso
privilege
Información de conjunto de privilegios
process
Información de token de proceso
return
Estado de llamada de sistema
sequence
Token de número de secuencia
socket
Direcciones y tipo de socket
subject
Token subject (tiene el mismo formato que el token process)
text
Cadena ASCII
trailer
Indica el final del registro de auditoría
uauth
Uso de autorización
upriv
Uso de privilegio
zonename
Nombre de la zona

Un registro de auditoría comienza siempre con un token header. El token header indica dónde comienza el registro de auditoría en la pista de auditoría. En el caso de eventos atribuibles, los tokens subject y process hacen referencia a los valores del proceso que causaron el evento. En el caso de eventos no atribuibles, el token process hace referencia al sistema.

Token acl

El token acl registra información acerca de las listas de control de acceso (ACL).

El token acl está formado por cuatro campos fijos:

El comando praudit -x muestra los campos del token acl:

<acl type="1" value="root" mode="6"/>

Token arbitrary (obsoleto)

El token arbitrary encapsula datos para la pista de auditoría. Este token está formado por cuatro campos fijos y una matriz de datos. Los campos fijos son los siguientes:

El resto del token está compuesto por el recuento del tipo especificado. El comando praudit muestra el token arbitrary de la siguiente manera:

arbitrary,decimal,int,1
42

La siguiente tabla muestra los valores posibles del campo de formato de impresión.

Tabla 31-5 Valores para el campo de formato de impresión de token arbitrary

Valor
Acción
AUP_BINARY
Imprime la fecha en formato binario
AUP_OCTAL
Imprime la fecha en formato octal
AUP_DECIMAL
Imprime la fecha en formato decimal
AUP_HEX
Imprime la fecha en formato hexadecimal
AUP_STRING
Imprime la fecha como una cadena

La siguiente tabla muestra los posibles valores del campo de tamaño de elemento.

Tabla 31-6 Valores para el campo de tamaño de elemento de token arbitrary

Valor
Acción
AUR_BYTE
Se imprimen los datos en unidades de bytes en 1 byte
AUR_SHORT
Se imprimen los datos en unidades breves en 2 bytes
AUR_LONG
Se imprimen los datos en unidades extensas en 4 bytes

Token arg

El token arg contiene información sobre los argumentos de una llamada de sistema: el número de argumento de la llamada del sistema, el valor del argumento y una descripción opcional. Este token permite un argumento de llamada de sistema de número entero de 32 bits en un registro de auditoría.

El token arg tiene cinco campos:

El comando praudit -x muestra los campos del token arg:

<argument arg-num="2" value="0x0" desc="new file uid"/>

Token attribute

El token attribute contiene información del vnode del archivo.

El token attribute tiene varios campos:

Para obtener más información acerca del ID de sistema de archivos y del ID de dispositivo, consulte la página del comando man statvfs(2).

El token attribute por lo general acompaña un token path. El token attribute se produce durante búsquedas de ruta. Si ocurre un error de búsqueda de ruta, no hay un vnode disponible para obtener la información de archivo necesaria. Por lo tanto, el token attributeno se encuentra incluido como parte del registro de auditoría. El comando praudit -x muestra los campos del token attribute:

<attribute mode="100644" uid="adm" gid="adm" fsid="136" nodeid="2040" device="0"/>

Token cmd

El token cmd registra la lista de argumentos y la lista de variables del entorno asociadas con un comando.

El token cmd contiene los siguientes campos:

El comando praudit -x muestra los campos del token cmd. El siguiente es un token cmd truncado. La línea se ajusta con fines de visualización.

<cmd><arge>WINDOWID=6823679</arge>
<arge>COLORTERM=gnome-terminal</arge>
<arge>...LANG=C</arge>...<arge>HOST=machine1</arge>
<arge>LPDEST=printer1</arge>...</cmd>

Token exec_args

El token exec_args registra los argumentos en una llamada de sistema exec(). El token exec_args tiene dos campos fijos:

El resto de este token se compone de cadenas de recuento. El comando praudit -x muestra los campos del token exec_args:

<exec_args><arg>/usr/bin/sh</arg><arg>/usr/bin/hostname</arg></exec_args>

Nota - El token exec_args sólo se muestra cuando está activada la opción de política de auditoría argv.


Token exec_env

El token exec_env registra las variables de entorno actuales en una llamada de sistema exec(). El token exec_env tiene dos campos fijos:

El resto de este token se compone de cadenas de recuento. El comando praudit -x muestra los campos del token exec_env. La línea se ajusta con fines de visualización.

<exec_env><env>_=/usr/bin/hostname</env>
<env>DTXSERVERLOCATION=local</env><env>SESSIONTYPE=altDt</env>
<env>LANG=C</env><env>SDT_NO_TOOLTALK=1</env><env>SDT_ALT_HELLO=/bin/true</env>
<env>PATH=/usr/bin:/usr/openwin/bin:/usr/ucb</env>
<env>OPENWINHOME=/usr/openwin</env><env>LOGNAME=jdoe</env><env>USER=jdoe</env>
<env>DISPLAY=:0</env><env>SHELL=/bin/csh</env><env>START_SPECKEYSD=no</env>
<env>SDT_ALT_SESSION=/usr/dt/config/Xsession2.jds</env><env>HOME=/home/jdoe</env>
<env>SDT_NO_DTDBCACHE=1</env><env>PWD=/home/jdoe</env><env>TZ=US/Pacific</env>
</exec_env>

Nota - El token exec_env sólo se muestra cuando está activada la opción de política de auditoría arge.


Token exit (obsoleto)

El token exit registra el estado de salida de un programa. El token exit contiene los siguientes campos:

El comando praudit muestra el token exit de la siguiente manera:

exit,Error 0,0

Token file

El token file es un token especial generado por el daemon auditd. El token marca el inicio de un nuevo archivo de auditoría y el fin de un antiguo archivo de auditoría cuando se desactiva el archivo antiguo. El token file inicial identifica el archivo anterior en la pista de auditoría. El token file final identifica el archivo siguiente en la pista de auditoría. El daemon auditd genera un registro de auditoría especial que contiene este token a fin de “enlazar” sucesivos archivos de auditoría con una pista de auditoría.

El comando praudit -x muestra los campos del token file. Este token identifica el siguiente archivo en la pista de auditoría. La línea se ajusta con fines de visualización.

<file iso8601="2009-04-08 14:18:26.200 -07:00">
/var/audit/machine1/files/20090408211826.not_terminated.machine1</file>

Token group (obsoleto)

Este token se ha sustituido por el token groups. Consulte Token groups.

Token groups

El token groups sustituye el token group. El token groups registra las entradas del grupo de la credencial del proceso.

El token groups tiene dos campos fijos:

El resto de este token se compone de entradas de grupo de recuento.

El comando praudit -x muestra los campos del token groups:

<group><gid>staff</gid><gid>other</gid></group>

Nota - El token groups sólo se muestra cuando la opción de política de auditoría group está activa.


Token header

El token header es especial en cuanto marca el inicio de un registro de auditoría. El token header se combina con el token trailer para encerrar todos los tokens en el registro.

El token header tiene ocho campos:

En sistemas de 64 bits, el token header se muestra con una indicación de hora de 64 bits, en lugar de la indicación de hora de 32 bits.

El comando praudit muestra el token header de la siguiente manera:

header,69,2,su,,machine1,2009-04-08 13:11:58.209 -07:00

El comando praudit -x muestra los campos del token header al comienzo del registro de auditoría. La línea se ajusta con fines de visualización.

<record version="2" event="su" host="machine1" 
iso8601="2009-04-08 13:11:58.209 -07:00">

Token ip_addr

El token contiene una dirección de protocolo de Internet ip_addr. Desde la versión Solaris 8 la dirección de Internet se puede visualizar en formato de IPv4 o formato de IPv6. La dirección IPv4 utiliza 4 bytes. La dirección IPv6 utiliza 1 byte para describir el tipo de dirección y 16 bytes para describir la dirección.

El token in_addr tiene tres campos:

El comando praudit -x muestra el contenido del token ip_addr:

<ip_address>machine1</ip_address>

Token ip (obsoleto)

El token ip contiene una copia de un encabezado de protocolo de Internet. El token ip tiene dos campos:

El comando praudit muestra el token ip de la siguiente manera:

ip address,0.0.0.0

La estructura del encabezado de IP está definida en el archivo /usr/include/netinet/ip.h.

Token ipc

El token ipc contiene el identificador de mensaje de System V IPCe, los indicadores de semáforo o el identificador de memoria compartida usado por el emisor de llamada para identificar un objeto IPC determinado.

El token ipc tiene tres campos:


Nota - Los identificadores del objeto IPC viola la naturaleza sin contexto de los tokens de auditoría de Oracle Solaris. Ningún “nombre” global identifica de forma exclusiva objetos IPC. En su lugar, los objetos IPC se identifican por sus identificadores. Los identificadores sólo son válidos durante el tiempo que los objetos IPC están activos. Sin embargo, la identificación de los objetos IPC no debería suponer ningún problema. Los mecanismos de System V IPC rara vez se utilizan, y todos los mecanismos comparten la misma clase de auditoría.


La siguiente tabla muestra los posibles valores del campo de tipo de objeto IPC. Los valores se definen en el archivo /usr/include/bsm/audit.h.

Tabla 31-7 Valores para el campo de tipo de objeto IPC

Nombre
Valor
Descripción
AU_IPC_MSG
1
Objeto de mensaje IPC
AU_IPC_SEM
2
Objeto de semáforo IPC
AU_IPC_SHM
3
Objeto de memoria compartida IPC

El comando praudit -x muestra los campos del token ipc:

<IPC ipc-type="shm" ipc-id="15"/>

Token ipc_perm

El token ipc_perm contiene una copia de los permisos de acceso de System V IPC. Este token se agrega a los registros de auditoría generados por los eventos de memoria compartida IPC, los eventos de semáforo IPC y los eventos de mensajes IPC.

El token ipc_perm tiene ocho campos:

El comando praudit -x muestra los campos del token ipc_perm. La línea se ajusta con fines de visualización.

<IPC_perm uid="jdoe" gid="staff" creator-uid="jdoe" 
creator-gid="staff" mode="100600" seq="0" key="0x0"/>

Los valores se toman de la estructura de ipc_perm asociada con el objeto IPC.

Token iport

El token iport contiene las direcciones de los puertos TCP o UDP.

El token iport tiene dos campos:

El comando praudit muestra el token iport de la siguiente manera:

ip port,0xf6d6

Token opaque (obsoleto)

El token opaque contiene datos sin formato como una secuencia de bytes. El token opaque tiene tres campos:

El comando praudit muestra el token opaque de la siguiente manera:

opaque,12,0x4f5041515545204441544100

Token path

El token de auditoría path contiene información sobre la ruta de acceso para un objeto.

El token path contiene los siguientes campos:

El comando praudit muestra el token path sin el segundo campo, de la siguiente manera:

path,/etc/security/audit_user

El comando praudit -x muestra el contenido del token path:

<path>/etc/security/prof_attr</path>

La siguiente figura muestra el formato de un token path.

Figura 31-4 Formato de token path

image:El contexto precedente describe el gráfico.

Token path_attr

El token de auditoría path_attr contiene información sobre la ruta de acceso para un objeto. La ruta de acceso especifica la secuencia de los objetos de archivo de atributos en el objeto de token path. Las llamadas de sistema, como openat(), permiten acceder a los archivos de atributos. Para obtener más información acerca de los objetos de archivo de atributos, consulte la página del comando man fsattr(5).

El token path_attr contiene los siguientes campos:

El comando praudit muestra el token path_attr de la siguiente manera:

path_attr,1,attr_file_name

Token privilege

El token privilege registra el uso de privilegios en un proceso. El token privilege no registra privilegios en la configuración básica. Si un privilegio se ha eliminado del conjunto básico por una acción administrativa, entonces la utilización de ese privilegio se registra. Para obtener más información sobre los privilegios, consulte Privilegios (descripción general).

El token privilege contiene los siguientes campos:

El comando praudit -x muestra los campos del token privilege. La línea se ajusta con fines de visualización.

<privilege set-type="Effective">file_chown,file_dac_read,
file_dac_write,net_privaddr,proc_exec,proc_fork,proc_setid</privilege>

Token process

El token process contiene información acerca del usuario asociado con un proceso, como el destinatario de una señal.

El token process tiene nueve campos:

Los ID de auditoría, ID de usuario, ID de grupo, ID de proceso e ID de sesión son largos en lugar de ser cortos.


Nota - Los campos del token process para el ID de sesión, el ID de usuario real o el ID de grupo real pueden no estar disponibles. Entonces, el valor se establece en -1.


Cualquier token que contiene ID de terminal posee distintas variaciones. El comando praudit oculta estas variaciones. Por lo tanto, el ID de terminal se maneja de la misma manera para cualquier token que contiene un ID de terminal. El ID de terminal puede ser una dirección IP y un número de puerto, o un ID de dispositivo. Un ID de dispositivo, como el puerto de serie que está conectado a un módem, puede ser cero. El ID de terminal se especifica en uno de los diversos formatos existentes.

El ID de terminal para los números de dispositivo se especifica de la siguiente manera:

En las versiones anteriores a la versión Solaris 8, el ID de terminal para números de puerto se asigna de la siguiente manera:

Desde la versión Solaris 8, el ID de terminal para números de puerto se especifica de la siguiente manera:

El comando praudit -x muestra los campos del token process. La línea se ajusta con fines de visualización.

<process audit-uid="-2" uid="root" gid="root" ruid="root" 
rgid="root" pid="9" sid="0" tid="0 0 0.0.0.0"/>

La siguiente figura muestra el formato de un token process.

Figura 31-5 Formato de token process

image:El contexto precedente describe el gráfico.

Token return

El token return contiene el estado de devolución de la llamada de sistema (u_error) y el valor de devolución de proceso (u_rval1 ).

El token return tiene tres campos:

El token return siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. En la auditoría de la aplicación, este token indica el estado de salida y otros valores de devolución.

El comando praudit muestra el token return para una llamada de sistema de la siguiente manera:

return,failure: Operation now in progress,-1

El comando praudit -x muestra los campos del token return:

<return errval="failure: Operation now in progress" retval="-1/">

Token sequence

El token sequence contiene un número de secuencia. El número de secuencia se incrementa cada vez que un registro de auditoría se agregue a la pista de auditoría. Este token es útil para la depuración.

El token sequence tiene dos campos:

El comando praudit muestra el campo del token sequence:

sequence,1292

El comando praudit -x muestra el contenido del token sequence:

<sequence seq-num="1292"/>

Nota - El token sequence sólo se muestra cuando está activada la opción de política de auditoría seq.


Token socket

El token socket contiene información que describe un socket de Internet. En algunos casos, el token tiene cuatro campos:

El comando praudit muestra esta instancia del token socket de la siguiente manera:

socket,0x0002,0x83b1,localhost

En la mayoría de los casos, el token tiene ocho campos:

Desde la versión Solaris 8 la dirección de Internet se puede visualizar en formato de IPv4 o formato de IPv6. La dirección IPv4 utiliza 4 bytes. La dirección IPv6 utiliza 1 byte para describir el tipo de dirección y 16 bytes para describir la dirección.

El comando praudit muestra el token socket de la siguiente manera:

socket,0x0002,0x0002,0x83cf,example1,0x2383,server1.Subdomain.Domain.COM

El comando praudit -x muestra los campos del token socket. La línea se ajusta con fines de visualización.

<socket sock_domain="0x0002" sock_type="0x0002" lport="0x83cf" 
laddr="example1" fport="0x2383" faddr="server1.Subdomain.Domain.COM"/>

Token subject

El token subject describe un usuario que lleva a cabo o intenta llevar a cabo una operación. El formato es el mismo que el del token process.

El token subject tiene nueve campos:

Los ID de auditoría, ID de usuario, ID de grupo, ID de proceso e ID de sesión son largos en lugar de ser cortos.


Nota - Los campos del token subject para el ID de sesión, el ID de usuario real o el ID de grupo real pueden no estar disponibles. Entonces, el valor se establece en -1.


Cualquier token que contiene ID de terminal posee distintas variaciones. El comando praudit oculta estas variaciones. Por lo tanto, el ID de terminal se maneja de la misma manera para cualquier token que contiene un ID de terminal. El ID de terminal puede ser una dirección IP y un número de puerto, o un ID de dispositivo. Un ID de dispositivo, como el puerto de serie que está conectado a un módem, puede ser cero. El ID de terminal se especifica en uno de los diversos formatos existentes.

El ID de terminal para los números de dispositivo se especifica de la siguiente manera:

En las versiones anteriores a la versión Solaris 8, el ID de terminal para números de puerto se asigna de la siguiente manera:

Desde la versión Solaris 8, el ID de terminal para números de puerto se especifica de la siguiente manera:

El token subject siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. El comando praudit muestra el token subject de la siguiente manera:

subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1

El comando praudit -x muestra los campos del token subject. La línea se ajusta con fines de visualización.

<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" 
rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>

La siguiente figura muestra el formato del token subject.

Figura 31-6 Formato de token subject

image:El contexto precedente describe el gráfico.

Token text

El token text contiene una cadena de texto.

El token text tiene tres campos:

El comando praudit -x muestra el contenido del token text:

<text>booting kernel</text>

Token trailer

Los dos tokens, header y trailer, son especiales en cuanto distinguen los puntos finales de un registro de auditoría y encierran todos los demás tokens. Un token header comienza un registro de auditoría. Un token trailer finaliza un registro de auditoría. El token trailer es un token opcional. El token trailer se agrega como el último token de cada registro sólo cuando la opción de política de auditoría trail está configurada.

Cuando un registro de auditoría se genera cuando los ubicadores están desactivados, el comando auditreduce puede verificar que el ubicador haga referencia correctamente al encabezado del registro. El token trailer admite búsquedas hacia atrás en la pista de auditoría.

El token trailer tiene tres campos:

El comando praudit muestra el token trailer de la siguiente manera:

trailer,136

Token uauth

El token uauth registra el uso de la autorización con un comando o acción.

El token uauth contiene los siguientes campos:

El comando praudit muestra el token uauth de la siguiente manera:

use of authorization,solaris.admin.printer.delete

Token upriv

El token upriv registra el uso del privilegio con un comando o acción.

El comando praudit -x muestra los campos del token upriv:

<use_of_privilege result="successful use of priv">proc_setid</use_of_privilege>

Token zonename

El token zonename registra la zona en la que ocurrió el evento de auditoría. La cadena “global” indica los eventos de auditoría que se producen en la zona global.

El token zonename contiene los siguientes campos:

El comando praudit -x muestra el contenido del token zonename:

<zone name="graphzone"/>