Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
28. Gestión de auditoría (tareas)
Páginas del comando man del servicio de auditoría
Perfiles de derechos para administración de auditoría
Auditoría y zonas de Oracle Solaris
Sintaxis de la clase de auditoría
Políticas de auditoría para eventos síncronos y asíncronos
Características del proceso de auditoría
Convenciones de nombres de archivos de auditoría binarios
Estructura de registro de auditoría
Cada token de auditoría tienen un identificador de tipo de token, que está seguido por los datos específicos para el token. La siguiente tabla muestra los nombres de token con una breve descripción de cada uno. Los tokens obsoletos se mantienen por motivos de compatibilidad con las versiones anteriores de Solaris.
Tabla 29-1 Tokens de auditoría para auditoría
|
Los siguientes tokens son obsoletos:
liaison
host
tid
Para obtener más información sobre tokens obsoletos, consulte el material de referencia para la versión que incluye el token.
Un registro de auditoría comienza siempre con un token header. El token header indica dónde comienza el registro de auditoría en la pista de auditoría. En el caso de eventos atribuibles, los tokens subject y process hacen referencia a los valores del proceso que causaron el evento. En el caso de eventos no atribuibles, el token process hace referencia al sistema.
El token acl tiene dos maneras de registrar información sobre entradas de control de acceso (ACEs) para un sistema de archivos ZFS y listas de control de acceso (ACLs) para un sistema de archivos UFS.
Cuando el token acl está registrado para un sistema de archivos UFS, el comando praudit -x muestra los campos de la siguiente manera:
<acl type="1" value="root" mode="6"/>
Cuando el token acl está registrado para un conjunto de datos ZFS, el comando praudit -x muestra los campos de la siguiente manera:
<acl who="root" access_mask="default" flags="-i,-R" type="2"/>
El token argument contiene información sobre los argumentos de una llamada del sistema: el número de argumentos de la llamada del sistema, el valor de los argumento y una descripción opcional. Este token permite un argumento de llamada de sistema de número entero de 32 bits en un registro de auditoría.
El comando praudit -x muestra los campos del token argument de la siguiente manera:
<argument arg-num="2" value="0x5401" desc="cmd"/>
El token attribute contiene información del vnode del archivo.
El token attribute por lo general acompaña un token path. El token attribute se produce durante búsquedas de ruta. Si ocurre un error de búsqueda de ruta, no hay un vnode disponible para obtener la información de archivo necesaria. Por lo tanto, el token attribute no se encuentra incluido como parte del registro de auditoría. El comando praudit -x muestra los campos del token attribute de la siguiente manera:
<attribute mode="20620" uid="root" gid="tty" fsid="0" nodeid="9267" device="108233"/>
El token cmd registra la lista de argumentos y la lista de variables del entorno asociadas con un comando.
El comando praudit -x muestra los campos del token cmd. El siguiente es un token cmd truncado. La línea se ajusta con fines de visualización.
<cmd><arge>WINDOWID=6823679</arge> <arge>COLORTERM=gnome-terminal</arge> <arge>...LANG=C</arge>...<arge>HOST=machine1</arge> <arge>LPDEST=printer1</arge>...</cmd>
El token exec_args registra los argumentos en una llamada de sistema exec().
El comando praudit -x muestra los campos del token exec_args de la siguiente manera:
<exec_args><arg>/usr/bin/sh</arg><arg>/usr/bin/hostname</arg></exec_args>
Nota - El token exec_args sólo se muestra cuando está activada la opción de política de auditoría argv.
El token exec_env registra las variables de entorno actuales en una llamada de sistema exec().
El comando praudit -x muestra los campos del token exec_env. La línea se ajusta con fines de visualización.
<exec_env><env>_=/usr/bin/hostname</env> <env>LANG=C</env><env>PATH=/usr/bin:/usr/ucb</env> <env><env>LOGNAME=jdoe</env><env>USER=jdoe</env> <env>DISPLAY=:0</env><env>SHELL=/bin/csh</env> <env>HOME=/home/jdoe</env><env>PWD=/home/jdoe</env><env>TZ=US/Pacific</env> </exec_env>
Nota - El token exec_env sólo se muestra cuando está activada la opción de política de auditoría arge.
El token file es un token especial que marca el inicio de un nuevo archivo de auditoría y el fin de un antiguo archivo de auditoría cuando se desactiva el archivo antiguo. El token file inicial identifica el archivo anterior en la pista de auditoría. El token file final identifica el archivo siguiente en la pista de auditoría. Estos tokens “unen” archivos de auditoría sucesivos en una pista de auditoría.
El comando praudit -x muestra los campos del token file. La línea se ajusta con fines de visualización.
<file iso8601="2009-04-08 14:18:26.200 -07:00"> /var/audit/machine1/files/20090408211826.not_terminated.machine1</file>
El token fmri registra el uso de un indicador de recursos de gestión de fallos (FMRI). Para obtener más información, consulte la página de comando man smf(5)
El comando praudit -x muestra el contenido del token fmri:
<fmri service_instance="svc:/system/cryptosvc"</fmri>
El token group registra las entradas del grupo de la credencial del proceso.
El comando praudit -x muestra los campos del token groups de la siguiente manera:
<group><gid>staff</gid><gid>other</gid></group>
Nota - El token group es una salida sólo cuando la opción de política de auditoría group está activa.
El token header es especial en cuanto marca el inicio de un registro de auditoría. El token header se combina con el token trailer para encerrar todos los tokens en el registro.
De manera poco frecuente, un token header puede incluir uno o más modificadores de eventos:
na indica un evento no atribuible
header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00
sp indica el uso correcto del privilegio
header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00
El comando praudit muestra el token header de la siguiente manera:
header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00
El comando praudit -x muestra los campos del token header al comienzo del registro de auditoría. La línea se ajusta con fines de visualización.
<record version="2" event="execve(2)" host="machine1" iso8601="2010-10-10 12:11:10.209 -07:00">
El token ip address contiene una dirección de protocolo de Internet (dirección IP). La dirección IP se pueden mostrar en formato IPv4 o IPv6. La dirección IPv4 utiliza 4 bytes. La dirección IPv6 utiliza 1 byte para describir el tipo de dirección y 16 bytes para describir la dirección.
El comando praudit -x muestra el contenido del token ip address de la siguiente manera:
<ip_address>machine1</ip_address>
El token ip port contiene las direcciones de los puertos TCP o UDP.
El comando praudit muestra el token ip port de la siguiente manera:
ip port,0xf6d6
El token ipc contiene el identificador de mensaje de System V IPCe, los indicadores de semáforo o el identificador de memoria compartida usado por el emisor de llamada para identificar un objeto IPC determinado.
Nota - Los identificadores del objeto IPC infringen la naturaleza sin contexto de los tokens de auditoría. Ningún “nombre” global identifica de forma exclusiva objetos IPC. En su lugar, los objetos IPC se identifican por sus identificadores. Los identificadores sólo son válidos durante el tiempo que los objetos IPC están activos. Sin embargo, la identificación de los objetos IPC no debería suponer ningún problema. Los mecanismos de System V IPC rara vez se utilizan, y todos los mecanismos comparten la misma clase de auditoría.
La siguiente tabla muestra los posibles valores del campo de tipo de objeto IPC. Los valores se definen en el archivo /usr/include/bsm/audit.h.
Tabla 29-2 Valores para el campo de tipo de objeto IPC
|
El comando praudit -x muestra los campos del token ipc de la siguiente manera:
<IPC ipc-type="shm" ipc-id="15"/>
El token IPC_perm contiene una copia de los permisos de acceso de System V IPC. Este token se agrega a los registros de auditoría generados por los eventos de memoria compartida IPC, los eventos de semáforo IPC y los eventos de mensajes IPC.
El comando praudit -x muestra los campos del token IPC_perm. La línea se ajusta con fines de visualización.
<IPC_perm uid="jdoe" gid="staff" creator-uid="jdoe" creator-gid="staff" mode="100600" seq="0" key="0x0"/>
Los valores se toman de la estructura de IPC_perm asociada con el objeto IPC.
El token de auditoría path contiene información sobre la ruta de acceso para un objeto.
El comando praudit -x muestra el contenido del token path:
<path>/export/home/srv/.xsession-errors</path>
El token de auditoría path_attr contiene información sobre la ruta de acceso para un objeto. La ruta de acceso especifica la secuencia de los objetos de archivo de atributos en el objeto de token path. Las llamadas de sistema, como openat(), permiten acceder a los archivos de atributos. Para obtener más información acerca de los objetos de archivos de atributos, consulte la página del comando man fsattr(5).
El comando praudit muestra el token path_attr de la siguiente manera:
path_attr,1,attr_file_name
El token privilege registra el uso de privilegios en un proceso. El token privilege no registra privilegios en la configuración básica. Si un privilegio se ha eliminado del conjunto básico por una acción administrativa, entonces la utilización de ese privilegio se registra. Para obtener más información sobre los privilegios, consulte Privilegios (descripción general)
El comando praudit -x muestra los campos del token privilege.
<privilege set-type="Inheritable">ALL</privilege>
El token process contiene información acerca del usuario asociado con un proceso, como el destinatario de una señal.
El comando praudit -x muestra los campos del token process. La línea se ajusta con fines de visualización.
<process audit-uid="-2" uid="root" gid="root" ruid="root" rgid="root" pid="567" sid="0" tid="0 0 0.0.0.0"/>
El token return contiene el estado de devolución de la llamada de sistema (u_error) y el valor de devolución de proceso (u_rval1 ).
El token return siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. En la auditoría de la aplicación, este token indica el estado de salida y otros valores de devolución.
El comando praudit muestra el token return para una llamada de sistema de la siguiente manera:
return,failure: Operation now in progress,-1
El comando praudit -x muestra los campos del token return de la siguiente manera:
<return errval="failure: Operation now in progress" retval="-1/">
El token sequence contiene un número de secuencia. El número de secuencia se incrementa cada vez que un registro de auditoría se agregue a la pista de auditoría. Este token es útil para la depuración.
El comando praudit -x muestra el contenido del token sequence:
<sequence seq-num="1292"/>
Nota - El token sequence sólo se muestra cuando está activada la opción de política de auditoría seq.
El token socket contiene información que describe un socket de Internet. En algunos casos, el token incluye solamente el puerto remoto y la dirección IP remota.
El comando praudit muestra esta instancia del token socket de la siguiente manera:
socket,0x0002,0x83b1,localhost
El token ampliado agrega información, incluidos el tipo de socket e información sobre el puerto local.
El comando praudit -x muestra esta instancia del token socket de la siguiente manera. La línea se ajusta con fines de visualización.
<socket sock_domain="0x0002" sock_type="0x0002" lport="0x83cf" laddr="example1" fport="0x2383" faddr="server1.Subdomain.Domain.COM"/>
El token subject describe un usuario que lleva a cabo o intenta llevar a cabo una operación. El formato es el mismo que el del token process.
El token subject siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. El comando praudit muestra el token subject de la siguiente manera:
subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1
El comando praudit -x muestra los campos del token subject. La línea se ajusta con fines de visualización.
<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>
El token text contiene una cadena de texto.
El comando praudit -x muestra el contenido del token text:
<text>booting kernel</text>
Los dos tokens, header y trailer, son especiales en cuanto distinguen los puntos finales de un registro de auditoría y encierran todos los demás tokens. Un token header comienza un registro de auditoría. Un token trailer finaliza un registro de auditoría. El token trailer es un token opcional. El token trailer se agrega como el último token de cada registro sólo cuando la opción de política de auditoría trail está configurada.
Cuando un registro de auditoría se genera cuando los ubicadores están desactivados, el comando auditreduce puede verificar que el ubicador haga referencia correctamente al encabezado del registro. El token trailer admite búsquedas hacia atrás en la pista de auditoría.
El comando praudit muestra el token trailer de la siguiente manera:
trailer,136
El token use of authorization registra el uso de autorización.
El comando praudit muestra el token use of authorization de la siguiente manera:
use of authorization,solaris.role.delegate
XXXX<use_of_authorization result="successful use of auth">solaris.role.delegate</use_of_auth>
El token use of privilege registra el uso de privilegio.
El comando praudit -x muestra los campos del token use of privilege de la siguiente manera:
<use_of_privilege result="successful use of priv">proc_setid</use_of_privilege>
El token user registra el nombre de usuario y el ID de usuario. Este token está presente si el nombre de usuario es diferente del emisor de la llamada.
El comando praudit -x muestra los campos del token user de la siguiente manera:
<user uid="123456" username="tester1"/>
El token xclient contiene el número de conexiones de cliente al servidor X.
El comando praudit -x muestra el contenido del token xlient de la siguiente manera:
<X_client>15</X_client>
El token zonename registra la zona en la que ocurrió el evento de auditoría. La cadena “global” indica los eventos de auditoría que se producen en la zona global.
El comando praudit -x muestra el contenido del token zonename:
<zone name="graphzone"/>