Referencia de auditoría de Trusted Extensions

El software Trusted Extensions agrega a Oracle Solaris clases, eventos y tokens de auditoría, y opciones de política de auditoría. Varios comandos de auditoría se amplían para manejar etiquetas. La siguiente figura muestra un registro de auditoría de núcleo y un registro de auditoría de nivel de usuario típicos de Trusted Extensions.

Figura 22-1 Estructuras típicas de registros de auditoría en un sistema con etiquetas

Clases de auditoría de Trusted Extensions

Trusted Extensions agrega clases de auditoría de ventanas X a Oracle Solaris. Las clases se enumeran en el archivo /etc/security/audit_class. Para obtener más información sobre las clases de auditoría, consulte la página del comando man audit_class(4).

Los eventos de auditoría del servidor X se asignan a estas clases según los criterios siguientes:

• xa: esta clase audita el acceso al servidor X, es decir, la conexión de clientes X y la desconexión de clientes X.

• xc: esta clase audita objetos de servidor de creación o destrucción. Por ejemplo, esta clase audita CreateWindow().

• xp: esta clase audita el uso de privilegios. El uso de privilegios puede ser correcto o incorrecto. Por ejemplo, ChangeWindowAttributes() se audita cuando un cliente intenta cambiar los atributos de una ventana de otro cliente. Esta clase también incluye rutinas administrativas, como SetAccessControl().

• xs: esta clase audita las rutinas que no devuelven mensajes de error X a los clientes en caso de errores causados por los atributos de seguridad. Por ejemplo, GetImage() no devuelve un error de BadWindow si no puede leer desde una ventana por falta de privilegios.

  Estos eventos se deben seleccionar para auditarlos únicamente cuando sean correctos. Si los eventos xs se seleccionan cuando son incorrectos, la pista de auditoría se llena de registros irrelevantes.

• xx: esta clase incluye todas las clases de auditoría X.

Eventos de auditoría de Trusted Extensions

El software Trusted Extensions agrega eventos de auditoría al sistema. Los eventos de auditoría nuevos y las clases de auditoría a las que los eventos pertenecen se enumeran en el archivo /etc/security/audit_event. Los números del evento de auditoría de Trusted Extensions se encuentran entre 9.000 y 10.000. Para obtener más información sobre los eventos de auditoría, consulte la página del comando man audit_event(4).

Tokens de auditoría de Trusted Extensions

En la siguiente tabla, se enumeran en orden alfabético los tokens de auditoría que el software Trusted Extensions agrega a Oracle Solaris. Las definiciones de tokens se enumeran en la página del comando man audit.log(4).

Tabla 22-1 Tokens de auditoría de Trusted Extensions

Token label

El token label contiene una etiqueta de sensibilidad.

Con el comando praudit -x, el token label se muestra de la siguiente manera:

<sensitivity_label>ADMIN_LOW</sensitivity_label>

Token xatom

El token xatom identifica un átomo X.

Con praudit, el token xatom se muestra de la siguiente manera:

X atom,_DT_SAVE_MODE

Token xcolormap

El token xcolormap contiene información sobre el uso de mapas de colores, incluidos el identificador del servidor X y el ID de usuario del creador.

Con praudit, el token xcolormap se muestra de la siguiente manera:

<X_colormap xid="0x08c00005" xcreator-uid="srv"/>

Token xcursor

El token xcursor contiene información sobre el uso de cursores, incluidos el identificador del servidor X y el ID de usuario del creador.

Con praudit, el token xcursor se muestra de la siguiente manera:

X cursor,0x0f400006,srv

Token xfont

El token xfont contiene información sobre el uso de fuentes, incluidos el identificador del servidor X y el ID de usuario del creador.

Con praudit, el token xfont se muestra de la siguiente manera:

<X_font xid="0x08c00001" xcreator-uid="srv"/>

Token xgc

El token xgc contiene información sobre el contexto gráfico de una ventana X.

Con praudit, el token xgc se muestra de la siguiente manera:

Xgraphic context,0x002f2ca0,srv

<X_graphic_context xid="0x30002804" xcreator-uid="srv"/>

Token xpixmap

El token xpixmap contiene información sobre el uso de mapas de píxeles, incluidos el identificador del servidor X y el ID de usuario del creador.

Con praudit -x, el token xpixmap se muestra de la siguiente manera:

<X_pixmap xid="0x2f002004" xcreator-uid="srv"/>

Token xproperty

El token xproperty contiene información sobre varias propiedades de una ventana, como el identificador del servidor X, el ID de usuario del creador y un identificador de átomo.

Con praudit, el token xproperty se muestra de la siguiente manera:

X_property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS

Token xselect

El token xselect contiene los datos que se mueven entre las ventanas. Estos datos son una secuencia de bytes sin una estructura interna asumida ni una cadena de propiedades.

Con praudit, el token xselect se muestra de la siguiente manera:

X selection,entryfield,halogen

Token xwindow

El token xwindow identifica el servidor X y el ID de usuario del creador.

Con praudit, el token xwindow se muestra de la siguiente manera:

<X_window xid="0x07400001" xcreator-uid="srv"/>

Opciones de política de auditoría de Trusted Extensions

Trusted Extensions agrega dos opciones de políticas de auditoría de ventanas a las opciones de políticas de auditoría existentes.

$ auditconfig -lspolicy
...
windata_down Include downgraded window information in audit records
windata_up   Include upgraded window information in audit records
...

Extensiones realizadas en comandos de auditoría de Trusted Extensions

Los comandos auditconfig, auditreduce y auditrecord se extendieron a fin de manejar la información de Trusted Extensions:

• El comando auditconfig incluye las políticas de auditoría de Trusted Extensions. Para obtener detalles, consulte la página del comando man auditconfig(1M).

• El comando auditreduce proporciona la opción -l para filtrar registros por etiqueta. Para obtener detalles, consulte la página del comando man auditreduce(1M).

• El comando auditrecord incluye los eventos de auditoría de Trusted Extensions.