Trusted Extensions の監査のリファレンス

Trusted Extensions ソフトウェアは、監査クラス、監査イベント、監査トークン、および監査ポリシーオプションを Oracle Solaris OS に追加します。いくつかの監査コマンドが、ラベル処理のために拡張されています。次の図は、Trusted Extensions の典型的なカーネル監査レコードとユーザーレベル監査レコードを示したものです。

図 18-1 ラベル付きシステムでの一般的な監査レコード構造

image:この図は、2 つの標準的な監査レコードの構造を示しています。カーネルレコードにはデータトークンが含まれます。slabel トークンはどちらのレコードにも含まれます。

Trusted Extensions の監査クラス

Trusted Extensions ソフトウェアによって Oracle Solaris OS に追加される監査クラスを、次の表にアルファベット順に示しています。これらのクラスは、/etc/security/audit_class ファイルに一覧表示されています。監査クラスについては、audit_class(4) のマニュアルページを参照してください。

表 18-1 X サーバー監査クラス

短い名前	長い名前	監査マスク
xc	X - オブジェクトの作成/破棄	0x00800000
xp	X - 特権/管理操作	0x00400000
xs	X - 失敗した場合、常にメッセージを表示せずにエラーになる操作	0x01000000
xx	X - xc、xp、xs クラス (メタクラス) のすべての X イベント	0x01c00000

X サーバー監査イベントは、次の条件に従ってこれらのクラスにマップされます。

xc – このクラスは、サーバーオブジェクトの作成と破棄を監査します。たとえば、このクラスで CreateWindow() を監査します。
xp – このクラスは特権の使用を監査します。特権の使用は、成功と失敗のいずれかになります。たとえば、クライアントがほかのクライアントのウィンドウの属性を変更しようとするときは、ChangeWindowAttributes() が監査されます。このクラスには、SetAccessControl() などの管理ルーチンも含まれています。
xs – このクラスは、セキュリティー属性が原因で失敗したときにクライアントに X エラーメッセージを返さないルーチンを監査します。たとえば GetImage() は、特権がないためにウィンドウからの読み取りに失敗しても、BadWindow エラーを返しません。

これらのイベントは、成功した場合にのみ監査するよう選択してください。失敗した場合の xs イベントを選択すると、監査証跡が無関係のレコードでいっぱいになります。
xx – このクラスには、X 監査クラスがすべて含まれます。

Trusted Extensions の監査イベント

Trusted Extensions ソフトウェアでは、システムに監査イベントが追加されます。新しい監査イベントと、そのイベントが属する監査クラスは、 /etc/security/audit_event ファイルに一覧されています。Trusted Extensions の監査イベント番号は、9000 から 10000 の間です。監査クラスについては、audit_event(4) のマニュアルページを参照してください。

Trusted Extensions の監査トークン

Trusted Extensions ソフトウェアで Oracle Solaris OS に追加される監査トークンを、次の表にアルファベット順に示しています。トークンは、audit.log(4) マニュアルページにも一覧表示されています。

表 18-2 Trusted Extensions の監査トークン

トークン名	説明
「`label` トークン」	機密ラベル
「`xatom` トークン」	X ウィンドウのアトム ID
「`xclient` トークン」	X クライアント ID
「`xcolormap` トークン」	X ウィンドウのカラー情報
「`xcursor` トークン」	X ウィンドウのカーソル情報
「`xfont` トークン」	X ウィンドウのフォント情報
「`xgc` トークン」	X ウィンドウのグラフィカルコンテキスト情報
「`xpixmap` トークン」	X ウィンドウのピクセルマッピング情報
「`xproperty` トークン」	X ウィンドウのプロパティー情報
「`xselect` トークン」	X ウィンドウのデータ情報
「`xwindow` トークン」	X ウィンドウのウィンドウ情報

`label` トークン

label トークンは、機密ラベルを含みます。次のフィールドがあります。

トークン ID
機密ラベル

トークン形式は次の図のとおりです。

図 18-2 label トークン形式

image:図に label 監査トークンのバイナリストリームの形式を示します。

label トークンは、praudit コマンドによって次のように表示されます。

sensitivity label,ADMIN_LOW

`xatom` トークン

xatom トークンは、X アトムに関する情報を含みます。次のフィールドがあります。

トークン ID
文字列長
アトムを識別するテキスト文字列

xatom トークンは、praudit によって次のように表示されます。

X atom,_DT_SAVE_MODE

`xclient` トークン

xclient トークンは、X クライアントに関する情報を含みます。次のフィールドがあります。

トークン ID
クライアント ID

xclient トークンは、praudit によって次のように表示されます。

X client,15

`xcolormap` トークン

xcolormap トークンは、カラーマップに関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID

トークン形式は次の図のとおりです。

図 18-3 xcolormap、xcursor、xfont、xgc、xpixmap 、xwindow トークンの形式

image:図に xcolormap、xcursor、xfont、xgc、xpixmap、および xwindow 監査トークンのバイナリストリームの形式を示します。

xcolormap トークンは、praudit によって次のように表示されます。

X color map,0x08c00005,srv

`xcursor` トークン

xcursor トークンは、カーソルに関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID

トークン形式は、図 18-3 のとおりです。

xcursor トークンは、praudit によって次のように表示されます。

X cursor,0x0f400006,srv

`xfont` トークン

xfont トークンは、フォントに関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID

トークン形式は、図 18-3 のとおりです。

xfont トークンは、praudit によって次のように表示されます。

X font,0x08c00001,srv

`xgc` トークン

xgc トークンは、xgc に関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID

トークン形式は、図 18-3 のとおりです。

xgc トークンは、praudit によって次のように表示されます。

Xgraphic context,0x002f2ca0,srv

`xpixmap` トークン

xpixmap トークンは、ピクセルマッピングに関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID

トークン形式は、図 18-3 のとおりです。

xpixmap トークンは、praudit によって次のように表示されます。

X pixmap,0x08c00005,srv

`xproperty` トークン

xproperty トークンは、ウィンドウの各種プロパティーに関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID
文字列長
アトムを識別するテキスト文字列

xproperty トークン形式は次の図のとおりです。

図 18-4 xproperty トークン形式

image:図に xproperty 監査トークンのバイナリストリームの形式を示します。

xproperty トークンは、praudit によって次のように表示されます。

X property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS

`xselect` トークン

xselect トークンは、ウィンドウ間で移動するデータを含みます。このデータは、内部構造を想定されないバイトストリームと、プロパティー文字列です。次のフィールドがあります。

トークン ID
プロパティー文字列の長さ
プロパティー文字列
プロパティータイプの長さ
プロパティータイプ文字列
データのバイト数を示す長さフィールド
データを含むバイト文字列

トークン形式は次の図のとおりです。

図 18-5 xselect トークン形式

image:図に xselect 監査トークンのバイナリストリームの形式を示します。

xselect トークンは、praudit によって次のように表示されます。

X selection,entryfield,halogen

`xwindow` トークン

xwindow トークンは、ウィンドウに関する情報を含みます。次のフィールドがあります。

トークン ID
X サーバー識別子
作成者のユーザー ID

トークン形式は、図 18-3 のとおりです。

xwindow トークンは、praudit によって次のように表示されます。

X window,0x07400001,srv

Trusted Extensions での監査ポリシーオプション

Trusted Extensions は、既存の Oracle Solaris 監査ポリシーオプションに 2 つの監査ポリシーオプションを追加します。追加の監査ポリシーを確認するには、ポリシーを一覧表示します。

$ auditconfig -lspolicy
...
windata_down Include downgraded window information in audit records
windata_up   Include upgraded window information in audit records
...

Trusted Extensions の監査コマンドの拡張

auditconfig、auditreduce、および bsmrecord の各コマンドは、Trusted Extensions 情報を処理できるように拡張されています。

auditconfig コマンドには、Trusted Extensions の監査ポリシーが含まれます。詳細は、auditconfig(1M) のマニュアルページを参照してください。
auditreduce コマンドでは、ラベルに従ってレコードをフィルタする -l オプションが追加されています。詳細は、auditreduce(1M) のマニュアルページを参照してください。
bsmrecord コマンドには、Trusted Extensions の監査イベントが含まれます。詳細は、bsmrecord(1M) のマニュアルページを参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語)