Référence de l'audit Trusted Extensions

Le logiciel Trusted Extensions ajoute des classes d'audit, des événements d'audit, des jetons d'audit et des options de stratégie d'audit au SE Oracle Solaris. Plusieurs commandes d'audit sont étendues pour permettre la prise en charge des étiquettes. Les enregistrements d'audit de Trusted Extensions incluent une étiquette, comme indiqué à la figure suivante.

Figure 18-1 Enregistrement d'audit standard sur un système étiqueté

image:L'illustration montre quatre jetons dans l'ordre - en-tête, sujet, étiquette et retour - qui constituent un enregistrement d'audit standard.

Classes d'audit de Trusted Extensions

Les classes d'audit que le logiciel Trusted Extensions ajoute au SE Oracle Solaris sont répertoriées par ordre alphabétique dans le tableau ci-dessous. Les classes sont répertoriées dans le fichier /etc/security/audit_class. Pour plus d'informations sur ces classes d'audit, reportez-vous à la page de manuel audit_class(4).

Tableau 18-1 Classes d'audit du serveur X

Nom court	Nom long	Masque d'audit
xc	X - Création/destruction d'objet	0x00800000
xp	X - Opérations privilégiées/administratives	0x00400000
xs	X - Opérations qui échouent toujours en mode silencieux si elles sont incorrectes	0x01000000
xx	X - Tous les événements X dans les classes xc, xp et xs (métaclasse)	0x01c00000

Les événements d'audit du serveur X sont mappés à ces classes selon les critères suivants :

xc : cette classe effectue un contrôle portant sur la création et la destruction d'objets du serveur. Par exemple, cette classe effectue un contrôle de la fonction CreateWindow().
xp : cette classe effectue un contrôle sur l'utilisation des privilèges. L'utilisation des privilèges peut avoir réussi ou échoué. Par exemple, ChangeWindowAttributes() fait l'objet d'un audit lorsqu'un client tente de modifier les attributs d'une fenêtre d'un autre client. Cette classe comprend également des routines d'administration telles que la fonction SetAccessControl().
xs : cette classe effectue un contrôle sur les routines qui ne renvoient pas de messages d'erreur X aux clients à la suite d'un échec lorsque cet échec est dû à des attributs de sécurité. Par exemple, la fonction GetImage() ne renvoie pas d'erreur BadWindow si elle n'est pas en mesure de lire à partir d'une fenêtre en raison de l'absence de privilèges.

Ces événements doivent être sélectionnés pour le contrôle uniquement en cas de réussite. Lorsque des événements xs sont sélectionnés pour le contrôle alors qu'ils échouent, la piste d'audit se remplit d'enregistrements non pertinents.
xx : cette classe comprend toutes les classes d'audit X.

Événements d'audit de Trusted Extensions

Le logiciel Trusted Extensions ajoute des événements d'audit au système. Les nouveaux événements d'audit et les nouvelles classes d'audit auxquelles les événements appartiennent sont répertoriés dans le fichier /etc/security/audit_event. Les numéros des événements d'audit de Trusted Extensions sont compris entre 9000 et 10000. Pour plus d'informations sur les événements d'audit, reportez-vous à la page de manuel audit_event(4).

Jetons d'audit de Trusted Extensions

Les jetons d'audit que le logiciel Trusted Extensions ajoute au SE Oracle Solaris sont répertoriés par ordre alphabétique dans le tableau ci-dessous. Les jetons sont également répertoriés sur la page de manuel audit.log(4).

Tableau 18-2 Jetons d'audit de Trusted Extensions

Nom du jeton	Description
Jeton `label`	Étiquette de sensibilité
Jeton `xatom`	Identification de l'atome de la fenêtre X
Jeton `xclient`	Identification du client X
Jeton `xcolormap`	Informations sur la couleur de la fenêtre X
Jeton `xcursor`	Informations sur le curseur de la fenêtre X
Jeton `xfont`	Informations sur les polices de la fenêtre X
Jeton `xgc`	Informations sur le contexte graphique de la fenêtre X
Jeton `xpixmap`	Informations de mappage de pixels de la fenêtre X
Jeton `xproperty`	Informations sur la propriété de la fenêtre X
Jeton `xselect`	Informations sur les données de la fenêtre X
Jeton `xwindow`	Informations sur la fenêtre de la fenêtre X

Jeton `label`

Le jeton label contient une étiquette de sensibilité. Ce jeton contient les champs suivants :

un ID de jeton ;
une étiquette de sensibilité.

La figure suivante montre le format du jeton.

Figure 18-2 Format du jeton label

La commande praudit affiche un jeton label comme suit :

sensitivity label,ADMIN_LOW

Jeton `xatom`

Le jeton xatom contient des informations concernant un atome X. Ce jeton contient les champs suivants :

un ID de jeton ;
la longueur de la chaîne ;
Une chaîne de texte qui identifie l'atome.

La commande praudit affiche un jeton xatom comme suit :

X atom,_DT_SAVE_MODE

Jeton `xclient`

Le jeton xclient contient des informations concernant le client X. Ce jeton contient les champs suivants :

un ID de jeton ;
l'ID de client.

La commande praudit affiche un jeton xclient comme suit :

X client,15

Jeton `xcolormap`

Le jeton xcolormap contient des informations sur les palettes de couleurs. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur.

La figure suivante montre le format du jeton.

Figure 18-3 Format des jetons xcolormap, xcursor , xfont, xgc, xpixmap et xwindow

La commande praudit affiche un jeton xcolormap comme suit :

X color map,0x08c00005,srv

Jeton `xcursor`

Le jeton xcursor contient des informations sur les curseurs. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur.

La Figure 18-3 montre le format du jeton.

La commande praudit affiche un jeton xcursor comme suit :

X cursor,0x0f400006,srv

Jeton `xfont`

Le jeton xfont contient des informations sur les polices. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur.

La Figure 18-3 montre le format du jeton.

La commande praudit affiche un jeton xfont comme suit :

X font,0x08c00001,srv

Jeton `xgc`

Le jeton xgc contient des informations concernant le xgc. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur.

La Figure 18-3 montre le format du jeton.

La commande praudit affiche un jeton xgc comme suit :

Xgraphic context,0x002f2ca0,srv

Jeton `xpixmap`

Le jeton xpixmap contient des informations sur les mappages de pixels. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur.

La Figure 18-3 montre le format du jeton.

La commande praudit affiche un jeton xpixmap comme suit :

X pixmap,0x08c00005,srv

Jeton `xproperty`

Le jeton xproperty contient des informations relatives aux diverses propriétés d'une fenêtre. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur ;
une longueur de chaîne ;
une chaîne de texte qui identifie l'atome.

La figure suivante montre un format de jeton xproperty.

Figure 18-4 Format de jeton xproperty

La commande praudit affiche un jeton xproperty comme suit :

X property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS

Jeton `xselect`

Le jeton xselect contient les données qui sont déplacées entre les fenêtres. Ces données sont un flux d'octets sans structure interne supposée et une chaîne de propriété. Ce jeton contient les champs suivants :

un ID de jeton ;
la longueur de la chaîne de propriété ;
la chaîne de propriété ;
la longueur du type de propriété ;
la chaîne du type de propriété ;
un champ de longueur qui donne le nombre d'octets des données ;
une chaîne d'octets qui contient les données.

La figure suivante montre le format du jeton.

Figure 18-5 Format du jeton xselect

La commande praudit affiche un jeton xselect comme suit :

X selection,entryfield,halogen

Jeton `xwindow`

Le jeton xwindow contient des informations sur une fenêtre. Ce jeton contient les champs suivants :

un ID de jeton ;
l'identificateur du serveur X ;
l'ID utilisateur du créateur.

La Figure 18-3 montre le format du jeton.

La commande praudit affiche un jeton xwindow comme suit :

X window,0x07400001,srv

Options de stratégie d'audit de Trusted Extensions

Trusted Extensions ajoute deux options aux options de stratégie d'audit d'Oracle Solaris existantes. Affichez la liste des stratégies pour visualiser les ajouts :

$ auditconfig -lspolicy
...
windata_down Include downgraded window information in audit records
windata_up   Include upgraded window information in audit records
...

Extensions des commandes d'audit dans Trusted Extensions

Les commandes auditconfig, auditreduce et bsmrecord sont étendues pour gérer les informations de Trusted Extensions :

La commande auditconfig inclut les stratégies d'audit de Trusted Extensions. Pour plus d'informations, reportez-vous à la page de manuel auditconfig(1M).
La commande auditreduce ajoute l'option -l pour filtrer des enregistrements en fonction de l'étiquette. Pour plus d'informations, reportez-vous à la page de manuel auditreduce(1M).
La commande bsmrecord inclut les événements d'audit de Trusted Extensions. Pour plus d'informations, reportez-vous à la page de manuel bsmrecord(1M).

Ignorer les liens de navigation
Quitter l'aperu
	Procédures de l'administrateur Oracle Solaris Trusted Extensions