Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
Basic Audit Reporting Tool (Übersicht)
Verwenden von BART (Übersicht der Schritte)
Sicherheitsüberlegungen zu BART
So vergleichen Sie Manifeste für das gleiche System über einen längeren Zeitraum
So vergleichen Sie Manifeste von verschiedenen Systemen
So passen Sie einen BART-Bericht durch Angeben von Dateiattributen an
So passen Sie einen BART-Bericht durch eine Regeldatei an
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Dieser Abschnitt enthält die folgenden Referenzinformationen:
In diesem Abschnitt wird das Format der von BART erstellten und verwendeten Dateien beschrieben.
Je nach Dateityp besteht jeder Manifest-Dateieintrag aus einer Zeile. Jeder Eintrag beginnt mit fname, was dem Namen der Datei entspricht. Um Parsing-Fehler durch in Dateinamen eingebettete Sonderzeichen zu vermeiden, sind die Dateinamen codiert. Weitere Informationen erhalten Sie unter Format der BART-Regeldatei.
Die nachfolgenden Felder stellen die folgenden Dateiattribute dar:
Dateityp mit den folgenden möglichen Werten:
B für einen Blockgeräteknoten
C für einen Zeichengeräteknoten
D für ein Verzeichnis
F für eine Datei
L für einen symbolischen Link
P für eine Pipe-Verkettung
S für ein Socket
Dateigröße in Byte
Oktalzahl, die die Berechtigungen der Datei darstellt
ACL-Attribute für die Datei. Enthält bei einer Datei mit ACL-Attributen die Ausgabe von acltotext()
Numerische Benutzer-ID des Eigentümers dieses Eintrags
Numerische Gruppen-ID des Eigentümers dieses Eintrags
Zeit der letzten Änderung (in Sekunden) seit 00:00:00 (UTC), 1. Januar 1970, für Verzeichnisse
Zeit der letzten Änderung (in Sekunden) seit 00:00:00 (UTC), 1. Januar 1970, für Links
Zeit der letzten Änderung (in Sekunden) seit 00:00:00 (UTC), 1. Januar 1970, für Dateien
Prüfsummenwert der Datei. Dieses Attribut wird nur für reguläre Dateien angegeben. Wenn Sie die Kontextprüfung deaktivieren oder wenn Prüfsummen nicht berechnet werden können, weist dieses Feld den Wert – auf.
Ziel eines symbolischen Links
Wert eines Geräteknotens. Dieses Attribut gilt nur für Zeichengerätdateien und Blockgerätdateien.
Weitere Informationen zu BART-Manifesten erhalten Sie auf der Manpage bart_manifest(4).
Die Eingabedateien für den Befehl bart sind Textdateien. Diese Dateien bestehen aus Zeilen, die angeben, welche Dateien im Manifest und welche Dateiattribute im Bericht enthalten sein sollen. Die gleiche Eingabedatei kann für beide BART-Funktionen verwendet werden. Mit # beginnende Zeilen, leere Zeilen und Zeilen mit Leerstellen werden vom Tool ignoriert.
Die Eingabedateien weisen drei Arten von Direktiven auf:
Teilbaumdirektive mit optionalen Mustervergleichsmodifikatoren
Direktive CHECK
Direktive IGNORE
Beispiel 5-8 Regeldateiformat
<Global CHECK/IGNORE Directives> <subtree1> [pattern1..] <IGNORE/CHECK Directives for subtree1> <subtree2> [pattern2..] <subtree3> [pattern3..] <subtree4> [pattern4..] <IGNORE/CHECK Directives for subtree2, subtree3, subtree4>
Hinweis - Alle Direktiven werden der Reihe nach gelesen, wobei die früheren durch spätere Direktiven überschrieben werden können.
Es gibt eine Teilbaumdirektive pro Zeile. Die Direktive muss mit einem absoluten Pfadnamen beginnen, der von keiner oder mehreren Mustervergleichsanweisungen gefolgt wird.
Der Befehl bart verwendet die Anweisungen CHECK und IGNORE, um zu definieren, welche Attribute nachverfolgt oder ignoriert werden sollen. Jedem Attribut ist ein Schlüsselwort zugewiesen.
Das Attribut Schlüsselwörter kann aus Folgendem bestehen:
acl
all
contents
dest
devnode
dirmtime
gid
lnmtime
mode
mtime
size
type
uid
Das Schlüsselwort all bezieht sich auf alle Dateiattribute.
Die von BART verwendete Regeldatei-Spezifikationssprache entspricht der standardmäßigen UNIX-Zitatzeichensyntax für die Darstellung von nicht standardmäßigen Dateinamen. Eingebettete Tabulator-, Leer-, Zeilenende- oder Sonderzeichen sind im entsprechenden oktalen Format codiert, damit das Tool die Dateinamen lesen kann. Diese nicht einheitliche Zitatzeichensyntax verhindert, dass bestimmte Dateinamen (beispielsweise mit einem eingebetteten Wagenrücklaufzeichen) in einer Befehls-Pipeline ordnungsgemäß verarbeitet werden. Die Regelspezifikationssprache ermöglicht die Angabe komplexer Dateinamen-Filterkriterien, die bei Verwendung einer Shell-Syntax nur schwierig und ineffizient zu beschreiben wären.
Weitere Informationen zur BART-Regeldatei oder der von BART verwendeten Zitatzeichensyntax finden Sie auf der Manpage bart_rules(4).
Im Standardmodus werden durch den Befehl bart compare (siehe folgendes Beispiel) alle Dateien im System überprüft, mit Ausnahme der geänderten Verzeichniszeitstempel (dirmtime):
CHECK all IGNORE dirmtime
Wenn Sie eine Regeldatei angeben, werden die globalen Direktiven von CHECK all und IGNORE dirmtime (in dieser Reihenfolge) automatisch an die Regeldatei vorangestellt.
Die folgenden Endewerte werden zurückgegeben:
Erfolgreich
Nicht schwerwiegender Fehler beim Verarbeiten der Dateien, wie Berechtigungsfehler
Schwerwiegender Fehler, wie ungültige Befehlszeilenoption
Der Berichterstellungsmechanismus bietet zwei Arten von Ausgaben: ausführlich und programmatisch:
Standardmäßig wird die ausführliche Ausgabe verwendet, die lokalisiert und auf mehreren Zeilen dargestellt wird. Die ausführliche Ausgabe ist internationalisiert und wird in Klartext angezeigt. Wenn durch den Befehl bart compare zwei System-Manifeste verglichen werden, wird eine Liste von Dateiunterschieden generiert.
Beispiel:
filename attribute control:xxxx test:yyyy
Name der Datei, die sich zwischen dem Steuerungs-Manifest und dem Test-Manifest unterscheidet
Name des Dateiattributs, das sich zwischen den verglichenen Manifesten unterscheidet. xxxx entspricht dem Attributwert des Steuerungs-Manifests und yyyy dem Attributwert des Test-Manifests. Wenn Abweichungen zwischen mehreren Attributen in der gleichen Datei auftreten, wird jede Abweichung auf einer separaten Zeile dargestellt.
Im Folgenden sehen Sie ein Beispiel der Standardausgabe für den Befehl bart compare. Die Attributunterschiede gelten für die Datei /etc/passwd. Die Ausgabe gibt an, dass die Attribute size, mtime und contents geändert wurden.
/etc/passwd: size control:74 test:81 mtime control:3c165879 test:3c165979 contents control:daca28ae0de97afd7a6b91fde8d57afa test:84b2b32c4165887355317207b48a6ec7
Programmatische Ausgabe wird generiert, wenn Sie die Option -p für den Befehl bart compare verwenden. Diese Ausgabe wird in einer für die programmatische Bearbeitung geeigneten Form generiert. Bei der programmatischen Ausgabe kann einfach ein Parsing von anderen Programmen durchgeführt werden. Diese Ausgabe dient als Eingabe für andere Tools.
Beispiel:
filename attribute control-val test-val [attribute control-val test-val]*
Identisch mit dem Attribut filename im Standardformat
Eine Beschreibung der Dateiattribute, die sich zwischen den Steuerungs- und Test-Manifesten der einzelnen Dateien unterscheiden
Eine Liste der Attribute, die vom Befehl bart unterstützt werden, erhalten Sie unter Regeldateiattribute.
Weitere Informationen zu BART erhalten Sie auf der Manpage bart(1M).