Référence de l'audit Trusted Extensions

Le logiciel Trusted Extensions ajoute des options de classes d'audit, d'événements d'audit, de jetons d'audit et de stratégie d'audit dans Oracle Solaris. Plusieurs commandes d'audit sont étendues pour permettre la prise en charge des étiquettes. La figure ci-dessous est un exemple type d'enregistrement d'audit du noyau Trusted Extensions et d'enregistrement d'audit au niveau de l'utilisateur.

Figure 22-1 Structures d'enregistrement d'audit type sur un système étiqueté

image:Le graphique présente deux structures d'enregistrement d'audit type. Le noyau d'enregistrement contient des jetons de données. Les deux enregistrements incluent un jeton slabel.

Classes d'audit de Trusted Extensions

Trusted Extensions ajoute les classes d'audit X Windows à Oracle Solaris. Les classes sont répertoriées dans le fichier /etc/security/audit_class. Pour plus d'informations sur ces classes d'audit, reportez-vous à la page de manuel audit_class(4).

Les événements d'audit du serveur X sont mappés à ces classes selon les critères suivants :

xa : cette classe surveille l'accès au serveur X, c'est-à-dire la connexion et la déconnexion du client X.
xc : cette classe effectue un contrôle portant sur la création et la destruction d'objets du serveur. Par exemple, cette classe effectue un contrôle de la fonction CreateWindow().
xp : cette classe effectue un contrôle sur l'utilisation des privilèges. L'utilisation des privilèges peut avoir réussi ou échoué. Par exemple, ChangeWindowAttributes() fait l'objet d'un audit lorsqu'un client tente de modifier les attributs d'une fenêtre d'un autre client. Cette classe comprend également des routines d'administration telles que la fonction SetAccessControl().
xs : cette classe effectue un contrôle sur les routines qui ne renvoient pas de messages d'erreur X aux clients à la suite d'un échec lorsque cet échec est dû à des attributs de sécurité. Par exemple, la fonction GetImage() ne renvoie pas d'erreur BadWindow si elle n'est pas en mesure de lire à partir d'une fenêtre en raison de l'absence de privilèges.

Ces événements doivent être sélectionnés pour l'audit uniquement en cas de réussite. Lorsque des événements xs sont sélectionnés pour l'audit alors qu'ils échouent, la piste d'audit se remplit d'enregistrements non pertinents.
xx : cette classe comprend toutes les classes d'audit X.

Événements d'audit de Trusted Extensions

Le logiciel Trusted Extensions ajoute des événements d'audit au système. Les nouveaux événements d'audit et les nouvelles classes d'audit auxquelles les événements appartiennent sont répertoriés dans le fichier /etc/security/audit_event. Les numéros des événements d'audit de Trusted Extensions sont compris entre 9000 et 10000. Pour plus d'informations sur les événements d'audit, reportez-vous à la page de manuel audit_event(4).

Jetons d'audit de Trusted Extensions

Les jetons d'audit que le logiciel Trusted Extensions ajoute à Oracle Solaris sont répertoriés par ordre alphabétique dans le tableau ci-dessous. Les définitions des jetons sont répertoriées dans la page de manuel audit.log(4).

Tableau 22-1 Jetons d'audit de Trusted Extensions

Nom de variable	Description
Jeton `label`	Étiquette de sensibilité
Jeton `xatom`	Identification de l'atome de la fenêtre X
Jeton `xcolormap`	Informations sur la couleur de la fenêtre X
Jeton `xcursor`	Informations sur le curseur de la fenêtre X
Jeton `xfont`	Informations sur les polices de la fenêtre X
Jeton `xgc`	Informations sur le contexte graphique de la fenêtre X
Jeton `xpixmap`	Informations sur les mappages de pixels de la fenêtre X
Jeton `xproperty`	Informations sur la propriété de la fenêtre X
Jeton `xselect`	Informations sur les données de la fenêtre X
Jeton `xwindow`	Informations sur la fenêtre de la fenêtre X

Jeton `label`

Le jeton label contient une étiquette de sensibilité.

La commande praudit -x affiche un jeton label comme suit :

<sensitivity_label>ADMIN_LOW</sensitivity_label>

Jeton `xatom`

Le jeton xatom identifie un atome X.

La commande praudit affiche un jeton xatom comme suit :

X atom,_DT_SAVE_MODE

Jeton `xcolormap`

Le jeton xcolormap contient des informations sur l'utilisation des palettes de couleurs, y compris l'identificateur du serveur X et l'ID utilisateur du créateur.

La commande praudit affiche un jeton xcolormap comme suit :

<X_colormap xid="0x08c00005" xcreator-uid="srv"/>

Jeton `xcursor`

Le jeton xcursor contient des informations sur l'utilisation du curseur, y compris l'identificateur du serveur Y et l'ID utilisateur du créateur.

La commande praudit affiche un jeton xcursor comme suit :

X cursor,0x0f400006,srv

Jeton `xfont`

Le jeton xfont contient des informations sur l'utilisation de police, y compris l'identificateur du serveur X et l'ID utilisateur du créateur.

La commande praudit affiche un jeton xfont comme suit :

<X_font xid="0x08c00001" xcreator-uid="srv"/>

Jeton `xgc`

Le jeton xgc contient des informations sur le contexte graphique d'une fenêtre X.

La commande praudit affiche un jeton xgc comme suit :

Xgraphic context,0x002f2ca0,srv

<X_graphic_context xid="0x30002804" xcreator-uid="srv"/>

Jeton `xpixmap`

Le jeton xpixmap contient des informations sur l'utilisation des mappages de pixels, y compris l'identificateur du serveur X et l'ID utilisateur du créateur.

La commande praudit -x affiche un jeton xpixmap comme suit :

<X_pixmap xid="0x2f002004" xcreator-uid="srv"/>

Jeton `xproperty`

Le jeton xproperty contient des informations sur les différentes propriétés d'une fenêtre, telles que l'identificateur du serveur X, l'ID utilisateur du créateur et l'identificateur de l'atome.

La commande praudit affiche un jeton xproperty comme suit :

X_property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS

Jeton `xselect`

Le jeton xselect contient les données qui sont déplacées entre les fenêtres. Ces données sont un flux d'octets sans structure interne supposée et une chaîne de propriété.

La commande praudit affiche un jeton xselect comme suit :

X selection,entryfield,halogen

Jeton `xwindow`

Le jeton xwindow identifie le serveur X et l'ID utilisateur du créateur.

La commande praudit affiche un jeton xwindow comme suit :

<X_window xid="0x07400001" xcreator-uid="srv"/>

Options de stratégie d'audit de Trusted Extensions

Trusted Extensions ajoute deux options de stratégie d'audit de fenêtre aux options de stratégie d'audit existantes.

$ auditconfig -lspolicy
...
windata_down Include downgraded window information in audit records
windata_up   Include upgraded window information in audit records
...

Extensions des commandes d'audit dans Trusted Extensions

Les commandes auditconfig, auditreduce et auditrecord sont étendues pour gérer les informations Trusted Extensions :

La commande auditconfig inclut les stratégies d'audit de Trusted Extensions. Pour plus d'informations, reportez-vous à la page de manuel auditconfig(1M).
La commande auditreduce ajoute l'option -l pour filtrer des enregistrements en fonction de l'étiquette. Pour plus d'informations, reportez-vous à la page de manuel auditreduce(1M).
La commande auditrecord inclut les événements d'audit de Trusted Extensions.

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français)