Referencia de auditoría de Trusted Extensions

El software de Trusted Extensions agrega al SO Oracle Solaris clases, eventos y tokens de auditoría, y también opciones de política de auditoría. Varios comandos de auditoría se amplían para manejar etiquetas. La siguiente figura muestra un registro de auditoría de núcleo y un registro de auditoría de nivel de usuario típicos de Trusted Extensions.

Figura 18-1 Estructuras típicas de registros de auditoría en un sistema con etiquetas

Clases de auditoría de Trusted Extensions

En la siguiente tabla, se enumeran en orden alfabético las clases de auditoría que el software de Trusted Extensions agrega al SO Oracle Solaris. Las clases se enumeran en el archivo /etc/security/audit_class. Para obtener más información sobre las clases de auditoría, consulte la página del comando man audit_class(4).

Tabla 18-1 Clases de auditoría del servidor X

Los eventos de auditoría del servidor X se asignan a estas clases según los criterios siguientes:

• xc: esta clase audita objetos de servidor de creación o destrucción. Por ejemplo, esta clase audita CreateWindow().

• xp: esta clase audita el uso de privilegios. El uso de privilegios puede ser correcto o incorrecto. Por ejemplo, ChangeWindowAttributes() se audita cuando un cliente intenta cambiar los atributos de una ventana de otro cliente. Esta clase también incluye rutinas administrativas, como SetAccessControl().

• xs: esta clase audita las rutinas que no devuelven mensajes de error X a los clientes en caso de errores causados por los atributos de seguridad. Por ejemplo, GetImage() no devuelve un error de BadWindow si no puede leer desde una ventana por falta de privilegios.

  Estos eventos se deben seleccionar para auditarlos únicamente cuando sean correctos. Si los eventos xs se seleccionan cuando son incorrectos, la pista de auditoría se llena de registros irrelevantes.

• xx: esta clase incluye todas las clases de auditoría X.

Eventos de auditoría de Trusted Extensions

El software Trusted Extensions agrega eventos de auditoría al sistema. Los eventos de auditoría nuevos y las clases de auditoría a las que los eventos pertenecen se enumeran en el archivo /etc/security/audit_event. Los números del evento de auditoría de Trusted Extensions se encuentran entre 9.000 y 10.000. Para obtener más información sobre los eventos de auditoría, consulte la página del comando man audit_event(4).

Tokens de auditoría de Trusted Extensions

En la siguiente tabla, se enumeran en orden alfabético los tokens de auditoría que el software de Trusted Extensions agrega al SO Oracle Solaris. Los tokens también se listan en la página del comando man audit.log(4).

Tabla 18-2 Tokens de auditoría de Trusted Extensions

Token label

El token label contiene una etiqueta de sensibilidad. Este token contiene los siguientes campos:

• Un ID de token

• Una etiqueta de sensibilidad

La figura siguiente muestra el formato del token.

Figura 18-2 Formato del token label

Con el comando praudit, el token label se muestra de la siguiente manera:

sensitivity label,ADMIN_LOW

Token xatom

El token xatom contiene información relativa a un átomo X. Este token contiene los siguientes campos:

• Un ID de token

• La longitud de la cadena

• Una cadena de texto que identifica el átomo

Con praudit, el token xatom se muestra de la siguiente manera:

X atom,_DT_SAVE_MODE

Token xclient

El token xclient contiene información sobre el cliente X. Este token contiene los siguientes campos:

• Un ID de token

• El ID de cliente

Con praudit, el token xclient se muestra de la siguiente manera:

X client,15

Token xcolormap

El token xcolormap contiene información sobre los mapas de colores. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

La figura siguiente muestra el formato del token.

Figura 18-3 Formato para los tokens xcolormap, xcursor, xfont, xgc, xpixmap y xwindow

Con praudit, el token xcolormap se muestra de la siguiente manera:

X color map,0x08c00005,srv

Token xcursor

El token xcursor contiene información sobre los cursores. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

La Figura 18-3 muestra el formato del token.

Con praudit, el token xcursor se muestra de la siguiente manera:

X cursor,0x0f400006,srv

Token xfont

El token xfont contiene información sobre las fuentes. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

La Figura 18-3 muestra el formato del token.

Con praudit, el token xfont se muestra de la siguiente manera:

X font,0x08c00001,srv

Token xgc

El token xgc contiene información sobre el xgc. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

La Figura 18-3 muestra el formato del token.

Con praudit, el token xgc se muestra de la siguiente manera:

Xgraphic context,0x002f2ca0,srv

Token xpixmap

El token xpixmap contiene información sobre las asignaciones de píxeles. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

La Figura 18-3 muestra el formato del token.

Con praudit, el token xpixmap se muestra de la siguiente manera:

X pixmap,0x08c00005,srv

Token xproperty

El token xproperty contiene información sobre varias propiedades de una ventana. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

• La longitud de la cadena

• Una cadena de texto que identifica el átomo

La figura siguiente muestra el formato del token xproperty.

Figura 18-4 Formato del token xproperty

Con praudit, el token xproperty se muestra de la siguiente manera:

X property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS

Token xselect

El token xselect contiene los datos que se mueven entre las ventanas. Estos datos son una secuencia de bytes sin una estructura interna asumida ni una cadena de propiedades. Este token contiene los siguientes campos:

• Un ID de token

• La longitud de la cadena de propiedades

• La cadena de propiedades

• La longitud del tipo de propiedad

• La cadena del tipo de propiedad

• Un campo de longitud que da el número de bytes de los datos

• Una cadena de bytes que contiene los datos

La figura siguiente muestra el formato del token.

Figura 18-5 Formato del token xselect

Con praudit, el token xselect se muestra de la siguiente manera:

X selection,entryfield,halogen

Token xwindow

El token xwindow contiene información sobre una ventana. Este token contiene los siguientes campos:

• Un ID de token

• El identificador del servidor X

• El ID de usuario del creador

La Figura 18-3 muestra el formato del token.

Con praudit, el token xwindow se muestra de la siguiente manera:

X window,0x07400001,srv

Opciones de política de auditoría de Trusted Extensions

Trusted Extensions agrega dos opciones de política de auditoría a las opciones de política de auditoría de Oracle Solaris existentes. Consulte la lista de políticas para conocer las nuevas opciones:

$ auditconfig -lspolicy
...
windata_down Include downgraded window information in audit records
windata_up   Include upgraded window information in audit records
...

Extensiones realizadas en comandos de auditoría de Trusted Extensions

Los comandos auditconfig, auditreduce y bsmrecord se extendieron a fin de manejar la información de Trusted Extensions:

• El comando auditconfig incluye las políticas de auditoría de Trusted Extensions. Para obtener detalles, consulte la página del comando man auditconfig(1M).

• El comando auditreduce proporciona la opción -l para filtrar registros por etiqueta. Para obtener detalles, consulte la página del comando man auditreduce(1M).

• El comando bsmrecord incluye los eventos de auditoría de Trusted Extensions. Para obtener detalles, consulte la página del comando man bsmrecord(1M).