Trusted Extensions の監査のリファレンス
Trusted Extensions ソフトウェアは、監査クラス、監査イベント、監査トークン、および監査ポリシーのオプションを Oracle Solaris に追加します。いくつかの監査コマンドが、ラベル処理のために拡張されています。次の図は、Trusted Extensions の典型的なカーネル監査レコードとユーザーレベル監査レコードを示したものです。
図 9 ラベル付きシステムでの一般的な監査レコード構造
Trusted Extensions の監査クラス
Trusted Extensions は、X ウィンドウ監査クラスを Oracle Solaris に追加します。これらのクラスは、/etc/security/audit_class ファイルに一覧されています。監査クラスについては、audit_class(4) のマニュアルページを参照してください。
xa – このクラスは、X サーバーへのアクセス、つまり X クライアント接続と X クライアント接続解除を監査します。
xc – このクラスは、サーバーオブジェクトの作成と破棄を監査します。たとえば、このクラスで CreateWindow() を監査します。
xp – このクラスは特権の使用を監査します。特権の使用は、成功と失敗のいずれかになります。たとえば、クライアントがほかのクライアントのウィンドウの属性を変更しようとするときは、ChangeWindowAttributes() が監査されます。このクラスには、SetAccessControl() などの管理ルーチンも含まれています。
xs – このクラスは、セキュリティー属性が原因で失敗したときにクライアントに X エラーメッセージを返さないルーチンを監査します。たとえば GetImage() は、特権がないためにウィンドウからの読み取りに失敗しても、BadWindow エラーを返しません。
これらのイベントは、成功した場合にのみ監査するよう選択してください。失敗した場合の xs イベントを選択すると、監査証跡が無関係のレコードでいっぱいになります。
xx – このクラスには、X 監査クラスがすべて含まれます。
X サーバー監査イベントは、次の条件に従ってこれらのクラスにマップされます。
Trusted Extensions の監査イベント
Trusted Extensions ソフトウェアでは、システムに監査イベントが追加されます。新しい監査イベントと、そのイベントが属する監査クラスは、 /etc/security/audit_event ファイルに一覧されています。Trusted Extensions の監査イベント番号は、9000 から 10000 の間です。監査クラスについては、audit_event(4) のマニュアルページを参照してください。
Trusted Extensions の監査トークン
Trusted Extensions ソフトウェアで Oracle Solaris に追加される監査トークンを、次の表にアルファベット順に一覧しています。トークンの定義は、audit.log(4) のマニュアルページに一覧されています。
|
label トークン
label トークンは、機密ラベルを含みます。
label トークンは、praudit -x コマンドによって次のように表示されます。
<sensitivity_label>ADMIN_LOW</sensitivity_label>
xatom トークン
xatom トークンは、X アトムを識別します。
xatom トークンは、praudit によって次のように表示されます。
X atom,_DT_SAVE_MODE
xcolormap トークン
xcolormap トークンには、X サーバー識別子や作成者のユーザー ID など、カラーマップの使用に関する情報が含まれます。
xcolormap トークンは、praudit によって次のように表示されます。
<X_colormap xid="0x08c00005" xcreator-uid="srv"/>
xcursor トークン
xcursor トークンには、X サーバー識別子や作成者のユーザー ID など、カーソルの使用に関する情報が含まれます。
xcursor トークンは、praudit によって次のように表示されます。
X cursor,0x0f400006,srv
xfont トークン
xfont トークンには、X サーバー識別子や作成者のユーザー ID など、フォントの使用に関する情報が含まれます。
xfont トークンは、praudit によって次のように表示されます。
<X_font xid="0x08c00001" xcreator-uid="srv"/>
xgc トークン
xgc トークンには、X ウィンドウのグラフィックコンテキストに関する情報が含まれます。
xgc トークンは、praudit によって次のように表示されます。
Xgraphic context,0x002f2ca0,srv
<X_graphic_context xid="0x30002804" xcreator-uid="srv"/>
xpixmap トークン
xpixmap トークンには、X サーバー識別子や作成者のユーザー ID など、ピクセルマッピングの使用に関する情報が含まれます。
xpixmap トークンは、praudit -x によって次のように表示されます。
<X_pixmap xid="0x2f002004" xcreator-uid="srv"/>
xproperty トークン
xproperty トークンには、X サーバー識別子や作成者のユーザー ID、アトム識別子など、ウィンドウの各種プロパティーに関する情報が含まれます。
xproperty トークンは、praudit によって次のように表示されます。
X_property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS
xselect トークン
xselect トークンは、ウィンドウ間で移動するデータを含みます。このデータは、内部構造を想定されないバイトストリームと、プロパティー文字列です。
xselect トークンは、praudit によって次のように表示されます。
X selection,entryfield,halogen
xwindow トークン
xwindow トークンは、X サーバーおよび作成者のユーザー ID を識別します。
xwindow トークンは、praudit によって次のように表示されます。
<X_window xid="0x07400001" xcreator-uid="srv"/>
Trusted Extensions での監査ポリシーオプション
Trusted Extensions は、既存の監査ポリシーオプションに 2 つのウィンドウ監査ポリシーオプションを追加します。
# auditconfig -lspolicy ... windata_down Include downgraded window information in audit records windata_up Include upgraded window information in audit records ...
Trusted Extensions の監査コマンドの拡張
auditconfig コマンドには、Trusted Extensions の監査ポリシーが含まれます。詳細は、auditconfig(1M) のマニュアルページを参照してください。
auditreduce コマンドでは、ラベルに従ってレコードをフィルタする –l オプションが追加されています。詳細は、auditreduce(1M) のマニュアルページを参照してください。
auditrecord コマンドには、Trusted Extensions の監査イベントが含まれます。
auditconfig、auditreduce、および auditrecord の各コマンドは、Trusted Extensions 情報を処理できるように拡張されています。