JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Administración de Oracle Solaris: servicios de seguridad     Oracle Solaris 11 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Servicio de análisis de virus (tareas)

5.  Control de acceso a dispositivos (tareas)

6.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

7.  Control de acceso a archivos (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Atributos de seguridad en Oracle Solaris (referencia)

Parte IV Servicios criptográficos

11.  Estructura criptográfica (descripción general)

12.  Estructura criptográfica (tareas)

13.  Estructura de gestión de claves

Parte V Servicios de autenticación y comunicación segura

14.  Autenticación de servicios de red (tareas)

15.  Uso de PAM

16.  Uso de SASL

17.  Uso de Secure Shell (tareas)

18.  Secure Shell (referencia)

Parte VI Servicio Kerberos

19.  Introducción al servicio Kerberos

20.  Planificación del servicio Kerberos

21.  Configuración del servicio Kerberos (tareas)

22.  Mensajes de error y resolución de problemas de Kerberos

23.  Administración de las políticas y los principales de Kerberos (tareas)

24.  Uso de aplicaciones Kerberos (tareas)

25.  El servicio Kerberos (referencia)

Parte VII Auditoría en Oracle Solaris

26.  Auditoría (descripción general)

27.  Planificación de la auditoría

28.  Gestión de auditoría (tareas)

29.  Auditoría (referencia)

Servicio de auditoría

Páginas del comando man del servicio de auditoría

Perfiles de derechos para administración de auditoría

Auditoría y zonas de Oracle Solaris

Clases de auditoría

Sintaxis de la clase de auditoría

Complementos de auditoría

Política de auditoría

Políticas de auditoría para eventos síncronos y asíncronos

Características del proceso de auditoría

Pista de auditoría

Convenciones de nombres de archivos de auditoría binarios

Estructura de registro de auditoría

Análisis de registro de auditoría

Formatos de token de auditoría

Token acl

Token argument

Token attribute

Token cmd

Token exec_args

Token exec_env

Token file

Token fmri

Token group

Token header

Token ip address

Token ip port

Token ipc

Token IPC_perm

Token path

Token path_attr

Token privilege

Token process

Token return

Token sequence

Token socket

Token subject

Token text

Token trailer

Token use of authorization

Token use of privilege

Token user

Token xclient

Token zonename

Glosario

Índice

Formatos de token de auditoría

Cada token de auditoría tienen un identificador de tipo de token, que está seguido por los datos específicos para el token. La siguiente tabla muestra los nombres de token con una breve descripción de cada uno. Los tokens obsoletos se mantienen por motivos de compatibilidad con las versiones anteriores de Solaris.

Tabla 29-1 Tokens de auditoría para auditoría

Nombre de token
Descripción
Para obtener más información
acl
Información de entrada de control de acceso (ACE) y lista de control de acceso (ACL)
arbitrary
Datos con información de formato y de tipo
Consulte la página del comando man audit.log(4).
argument
Valor de argumento de llamada de sistema
attribute
Información de vnode de archivo
cmd
Argumentos de comandos y variables de entornos
exec_args
Argumentos de llamada de sistema exec
exec_env
Variables de entorno de llamada de sistema exec
exit
Información de salida de programa
Consulte la página del comando man audit.log(4).
file
Información de archivo de auditoría
fmri
Indicador de recursos de gestión de estructura
group
Información de grupos de procesos
encabezado
Indica el comienzo del registro de auditoría
ip
Información de encabezado IP
Consulte la página del comando man audit.log(4).
ip address
Dirección de Internet
ip port
Dirección de puerto de Internet
ipc
Información de System V IPC
IPC_perm
Información de acceso de objetos de System V IPC
opaque
Datos no estructurados (sin especificar formato)
Consulte la página del comando man audit.log(4).
path
Información de ruta
path_attr
Información de ruta de acceso
privilege
Información de conjunto de privilegios
proceso
Información de proceso
return
Estado de llamada de sistema
sequence
Número de secuencia
socket
Direcciones y tipo de socket
subject
Información de "subject" (tiene el mismo formato que process)
text
Cadena ASCII
trailer
Indica el final del registro de auditoría
use of authorization
Uso de autorización
use of privilege
Uso de privilegio
user
ID de usuario y nombre de usuario
xclient
Identificación de los clientes X
zonename
Nombre de la zona
Tokens de Trusted Extensions
label e información de sistema de ventanas X

Los siguientes tokens son obsoletos:

Para obtener más información sobre tokens obsoletos, consulte el material de referencia para la versión que incluye el token.

Un registro de auditoría comienza siempre con un token header. El token header indica dónde comienza el registro de auditoría en la pista de auditoría. En el caso de eventos atribuibles, los tokens subject y process hacen referencia a los valores del proceso que causaron el evento. En el caso de eventos no atribuibles, el token process hace referencia al sistema.

Token acl

El token acl tiene dos maneras de registrar información sobre entradas de control de acceso (ACEs) para un sistema de archivos ZFS y listas de control de acceso (ACLs) para un sistema de archivos UFS.

Cuando el token acl está registrado para un sistema de archivos UFS, el comando praudit -x muestra los campos de la siguiente manera:

<acl type="1" value="root" mode="6"/>

Cuando el token acl está registrado para un conjunto de datos ZFS, el comando praudit -x muestra los campos de la siguiente manera:

<acl who="root" access_mask="default" flags="-i,-R" type="2"/>

Token argument

El token argument contiene información sobre los argumentos de una llamada del sistema: el número de argumentos de la llamada del sistema, el valor de los argumento y una descripción opcional. Este token permite un argumento de llamada de sistema de número entero de 32 bits en un registro de auditoría.

El comando praudit -x muestra los campos del token argument de la siguiente manera:

<argument arg-num="2" value="0x5401" desc="cmd"/>

Token attribute

El token attribute contiene información del vnode del archivo.

El token attribute por lo general acompaña un token path. El token attribute se produce durante búsquedas de ruta. Si ocurre un error de búsqueda de ruta, no hay un vnode disponible para obtener la información de archivo necesaria. Por lo tanto, el token attribute no se encuentra incluido como parte del registro de auditoría. El comando praudit -x muestra los campos del token attribute de la siguiente manera:

<attribute mode="20620" uid="root" gid="tty" fsid="0" nodeid="9267" device="108233"/>

Token cmd

El token cmd registra la lista de argumentos y la lista de variables del entorno asociadas con un comando.

El comando praudit -x muestra los campos del token cmd. El siguiente es un token cmd truncado. La línea se ajusta con fines de visualización.

<cmd><arge>WINDOWID=6823679</arge>
<arge>COLORTERM=gnome-terminal</arge>
<arge>...LANG=C</arge>...<arge>HOST=machine1</arge>
<arge>LPDEST=printer1</arge>...</cmd>

Token exec_args

El token exec_args registra los argumentos en una llamada de sistema exec().

El comando praudit -x muestra los campos del token exec_args de la siguiente manera:

<exec_args><arg>/usr/bin/sh</arg><arg>/usr/bin/hostname</arg></exec_args>

Nota - El token exec_args sólo se muestra cuando está activada la opción de política de auditoría argv.


Token exec_env

El token exec_env registra las variables de entorno actuales en una llamada de sistema exec().

El comando praudit -x muestra los campos del token exec_env. La línea se ajusta con fines de visualización.

<exec_env><env>_=/usr/bin/hostname</env>
<env>LANG=C</env><env>PATH=/usr/bin:/usr/ucb</env>
<env><env>LOGNAME=jdoe</env><env>USER=jdoe</env>
<env>DISPLAY=:0</env><env>SHELL=/bin/csh</env>
<env>HOME=/home/jdoe</env><env>PWD=/home/jdoe</env><env>TZ=US/Pacific</env>
</exec_env>

Nota - El token exec_env sólo se muestra cuando está activada la opción de política de auditoría arge.


Token file

El token file es un token especial que marca el inicio de un nuevo archivo de auditoría y el fin de un antiguo archivo de auditoría cuando se desactiva el archivo antiguo. El token file inicial identifica el archivo anterior en la pista de auditoría. El token file final identifica el archivo siguiente en la pista de auditoría. Estos tokens “unen” archivos de auditoría sucesivos en una pista de auditoría.

El comando praudit -x muestra los campos del token file. La línea se ajusta con fines de visualización.

<file iso8601="2009-04-08 14:18:26.200 -07:00">
/var/audit/machine1/files/20090408211826.not_terminated.machine1</file>

Token fmri

El token fmri registra el uso de un indicador de recursos de gestión de fallos (FMRI). Para obtener más información, consulte la página de comando man smf(5)

El comando praudit -x muestra el contenido del token fmri:

<fmri service_instance="svc:/system/cryptosvc"</fmri>

Token group

El token group registra las entradas del grupo de la credencial del proceso.

El comando praudit -x muestra los campos del token groups de la siguiente manera:

<group><gid>staff</gid><gid>other</gid></group>

Nota - El token group es una salida sólo cuando la opción de política de auditoría group está activa.


Token header

El token header es especial en cuanto marca el inicio de un registro de auditoría. El token header se combina con el token trailer para encerrar todos los tokens en el registro.

De manera poco frecuente, un token header puede incluir uno o más modificadores de eventos:

El comando praudit muestra el token header de la siguiente manera:

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

El comando praudit -x muestra los campos del token header al comienzo del registro de auditoría. La línea se ajusta con fines de visualización.

<record version="2" event="execve(2)" host="machine1" 
iso8601="2010-10-10 12:11:10.209 -07:00">

Token ip address

El token ip address contiene una dirección de protocolo de Internet (dirección IP). La dirección IP se pueden mostrar en formato IPv4 o IPv6. La dirección IPv4 utiliza 4 bytes. La dirección IPv6 utiliza 1 byte para describir el tipo de dirección y 16 bytes para describir la dirección.

El comando praudit -x muestra el contenido del token ip address de la siguiente manera:

<ip_address>machine1</ip_address>

Token ip port

El token ip port contiene las direcciones de los puertos TCP o UDP.

El comando praudit muestra el token ip port de la siguiente manera:

ip port,0xf6d6

Token ipc

El token ipc contiene el identificador de mensaje de System V IPCe, los indicadores de semáforo o el identificador de memoria compartida usado por el emisor de llamada para identificar un objeto IPC determinado.


Nota - Los identificadores del objeto IPC infringen la naturaleza sin contexto de los tokens de auditoría. Ningún “nombre” global identifica de forma exclusiva objetos IPC. En su lugar, los objetos IPC se identifican por sus identificadores. Los identificadores sólo son válidos durante el tiempo que los objetos IPC están activos. Sin embargo, la identificación de los objetos IPC no debería suponer ningún problema. Los mecanismos de System V IPC rara vez se utilizan, y todos los mecanismos comparten la misma clase de auditoría.


La siguiente tabla muestra los posibles valores del campo de tipo de objeto IPC. Los valores se definen en el archivo /usr/include/bsm/audit.h.

Tabla 29-2 Valores para el campo de tipo de objeto IPC

Nombre
Valor
Descripción
AU_IPC_MSG
1
Objeto de mensaje IPC
AU_IPC_SEM
2
Objeto de semáforo IPC
AU_IPC_SHM
3
Objeto de memoria compartida IPC

El comando praudit -x muestra los campos del token ipc de la siguiente manera:

<IPC ipc-type="shm" ipc-id="15"/>

Token IPC_perm

El token IPC_perm contiene una copia de los permisos de acceso de System V IPC. Este token se agrega a los registros de auditoría generados por los eventos de memoria compartida IPC, los eventos de semáforo IPC y los eventos de mensajes IPC.

El comando praudit -x muestra los campos del token IPC_perm. La línea se ajusta con fines de visualización.

<IPC_perm uid="jdoe" gid="staff" creator-uid="jdoe" 
creator-gid="staff" mode="100600" seq="0" key="0x0"/>

Los valores se toman de la estructura de IPC_perm asociada con el objeto IPC.

Token path

El token de auditoría path contiene información sobre la ruta de acceso para un objeto.

El comando praudit -x muestra el contenido del token path:

<path>/export/home/srv/.xsession-errors</path>

Token path_attr

El token de auditoría path_attr contiene información sobre la ruta de acceso para un objeto. La ruta de acceso especifica la secuencia de los objetos de archivo de atributos en el objeto de token path. Las llamadas de sistema, como openat(), permiten acceder a los archivos de atributos. Para obtener más información acerca de los objetos de archivos de atributos, consulte la página del comando man fsattr(5).

El comando praudit muestra el token path_attr de la siguiente manera:

path_attr,1,attr_file_name

Token privilege

El token privilege registra el uso de privilegios en un proceso. El token privilege no registra privilegios en la configuración básica. Si un privilegio se ha eliminado del conjunto básico por una acción administrativa, entonces la utilización de ese privilegio se registra. Para obtener más información sobre los privilegios, consulte Privilegios (descripción general)

El comando praudit -x muestra los campos del token privilege.

<privilege set-type="Inheritable">ALL</privilege>

Token process

El token process contiene información acerca del usuario asociado con un proceso, como el destinatario de una señal.

El comando praudit -x muestra los campos del token process. La línea se ajusta con fines de visualización.

<process audit-uid="-2" uid="root" gid="root" ruid="root" 
rgid="root" pid="567" sid="0" tid="0 0 0.0.0.0"/>

Token return

El token return contiene el estado de devolución de la llamada de sistema (u_error) y el valor de devolución de proceso (u_rval1 ).

El token return siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. En la auditoría de la aplicación, este token indica el estado de salida y otros valores de devolución.

El comando praudit muestra el token return para una llamada de sistema de la siguiente manera:

return,failure: Operation now in progress,-1

El comando praudit -x muestra los campos del token return de la siguiente manera:

<return errval="failure: Operation now in progress" retval="-1/">

Token sequence

El token sequence contiene un número de secuencia. El número de secuencia se incrementa cada vez que un registro de auditoría se agregue a la pista de auditoría. Este token es útil para la depuración.

El comando praudit -x muestra el contenido del token sequence:

<sequence seq-num="1292"/>

Nota - El token sequence sólo se muestra cuando está activada la opción de política de auditoría seq.


Token socket

El token socket contiene información que describe un socket de Internet. En algunos casos, el token incluye solamente el puerto remoto y la dirección IP remota.

El comando praudit muestra esta instancia del token socket de la siguiente manera:

socket,0x0002,0x83b1,localhost

El token ampliado agrega información, incluidos el tipo de socket e información sobre el puerto local.

El comando praudit -x muestra esta instancia del token socket de la siguiente manera. La línea se ajusta con fines de visualización.

<socket sock_domain="0x0002" sock_type="0x0002" lport="0x83cf" 
laddr="example1" fport="0x2383" faddr="server1.Subdomain.Domain.COM"/>

Token subject

El token subject describe un usuario que lleva a cabo o intenta llevar a cabo una operación. El formato es el mismo que el del token process.

El token subject siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. El comando praudit muestra el token subject de la siguiente manera:

subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1

El comando praudit -x muestra los campos del token subject. La línea se ajusta con fines de visualización.

<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" 
rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>

Token text

El token text contiene una cadena de texto.

El comando praudit -x muestra el contenido del token text:

<text>booting kernel</text>

Token trailer

Los dos tokens, header y trailer, son especiales en cuanto distinguen los puntos finales de un registro de auditoría y encierran todos los demás tokens. Un token header comienza un registro de auditoría. Un token trailer finaliza un registro de auditoría. El token trailer es un token opcional. El token trailer se agrega como el último token de cada registro sólo cuando la opción de política de auditoría trail está configurada.

Cuando un registro de auditoría se genera cuando los ubicadores están desactivados, el comando auditreduce puede verificar que el ubicador haga referencia correctamente al encabezado del registro. El token trailer admite búsquedas hacia atrás en la pista de auditoría.

El comando praudit muestra el token trailer de la siguiente manera:

trailer,136

Token use of authorization

El token use of authorization registra el uso de autorización.

El comando praudit muestra el token use of authorization de la siguiente manera:

use of authorization,solaris.role.delegate
XXXX<use_of_authorization result="successful use of auth">solaris.role.delegate</use_of_auth>

Token use of privilege

El token use of privilege registra el uso de privilegio.

El comando praudit -x muestra los campos del token use of privilege de la siguiente manera:

<use_of_privilege result="successful use of priv">proc_setid</use_of_privilege>

Token user

El token user registra el nombre de usuario y el ID de usuario. Este token está presente si el nombre de usuario es diferente del emisor de la llamada.

El comando praudit -x muestra los campos del token user de la siguiente manera:

<user uid="123456" username="tester1"/>

Token xclient

El token xclient contiene el número de conexiones de cliente al servidor X.

El comando praudit -x muestra el contenido del token xlient de la siguiente manera:

<X_client>15</X_client>

Token zonename

El token zonename registra la zona en la que ocurrió el evento de auditoría. La cadena “global” indica los eventos de auditoría que se producen en la zona global.

El comando praudit -x muestra el contenido del token zonename:

<zone name="graphzone"/>