Trusted Extensions ソフトウェアは、監査クラス、監査イベント、監査トークン、および監査ポリシーのオプションを Oracle Solaris に追加します。いくつかの監査コマンドが、ラベル処理のために拡張されています。次の図は、Trusted Extensions の典型的なカーネル監査レコードとユーザーレベル監査レコードを示したものです。
図 9 ラベル付きシステムでの一般的な監査レコード構造
Trusted Extensions は、X ウィンドウ監査クラスを Oracle Solaris に追加します。これらのクラスは、/etc/security/audit_class ファイルに一覧されています。監査クラスについては、audit_class(4) のマニュアルページを参照してください。
X サーバー監査イベントは、次の条件に従ってこれらのクラスにマップされます。
xa – このクラスは、X サーバーへのアクセス、つまり X クライアント接続と X クライアント接続解除を監査します。
xc – このクラスは、サーバーオブジェクトの作成と破棄を監査します。たとえば、このクラスで CreateWindow() を監査します。
xp – このクラスは特権の使用を監査します。特権の使用は、成功と失敗のいずれかになります。たとえば、クライアントがほかのクライアントのウィンドウの属性を変更しようとするときは、ChangeWindowAttributes() が監査されます。このクラスには、SetAccessControl() などの管理ルーチンも含まれています。
xs – このクラスは、セキュリティー属性が原因で失敗したときにクライアントに X エラーメッセージを返さないルーチンを監査します。たとえば GetImage() は、特権がないためにウィンドウからの読み取りに失敗しても、BadWindow エラーを返しません。
これらのイベントは、成功した場合にのみ監査するよう選択してください。失敗した場合の xs イベントを選択すると、監査証跡が無関係のレコードでいっぱいになります。
xx – このクラスには、X 監査クラスがすべて含まれます。
Trusted Extensions ソフトウェアでは、システムに監査イベントが追加されます。新しい監査イベントと、そのイベントが属する監査クラスは、 /etc/security/audit_event ファイルに一覧されています。Trusted Extensions の監査イベント番号は、9000 から 10000 の間です。監査クラスについては、audit_event(4) のマニュアルページを参照してください。
Trusted Extensions ソフトウェアで Oracle Solaris に追加される監査トークンを、次の表にアルファベット順に一覧しています。トークンの定義は、audit.log(4) のマニュアルページに一覧されています。
|
label トークンは、機密ラベルを含みます。
label トークンは、praudit -x コマンドによって次のように表示されます。
<sensitivity_label>ADMIN_LOW</sensitivity_label>
xatom トークンは、X アトムを識別します。
xatom トークンは、praudit によって次のように表示されます。
X atom,_DT_SAVE_MODE
xcolormap トークンには、X サーバー識別子や作成者のユーザー ID など、カラーマップの使用に関する情報が含まれます。
xcolormap トークンは、praudit によって次のように表示されます。
<X_colormap xid="0x08c00005" xcreator-uid="srv"/>
xcursor トークンには、X サーバー識別子や作成者のユーザー ID など、カーソルの使用に関する情報が含まれます。
xcursor トークンは、praudit によって次のように表示されます。
X cursor,0x0f400006,srv
xfont トークンには、X サーバー識別子や作成者のユーザー ID など、フォントの使用に関する情報が含まれます。
xfont トークンは、praudit によって次のように表示されます。
<X_font xid="0x08c00001" xcreator-uid="srv"/>
xgc トークンには、X ウィンドウのグラフィックコンテキストに関する情報が含まれます。
xgc トークンは、praudit によって次のように表示されます。
Xgraphic context,0x002f2ca0,srv
<X_graphic_context xid="0x30002804" xcreator-uid="srv"/>
xpixmap トークンには、X サーバー識別子や作成者のユーザー ID など、ピクセルマッピングの使用に関する情報が含まれます。
xpixmap トークンは、praudit -x によって次のように表示されます。
<X_pixmap xid="0x2f002004" xcreator-uid="srv"/>
xproperty トークンには、X サーバー識別子や作成者のユーザー ID、アトム識別子など、ウィンドウの各種プロパティーに関する情報が含まれます。
xproperty トークンは、praudit によって次のように表示されます。
X_property,0x000075d5,root,_MOTIF_DEFAULT_BINDINGS
xselect トークンは、ウィンドウ間で移動するデータを含みます。このデータは、内部構造を想定されないバイトストリームと、プロパティー文字列です。
xselect トークンは、praudit によって次のように表示されます。
X selection,entryfield,halogen
xwindow トークンは、X サーバーおよび作成者のユーザー ID を識別します。
xwindow トークンは、praudit によって次のように表示されます。
<X_window xid="0x07400001" xcreator-uid="srv"/>
Trusted Extensions は、既存の監査ポリシーオプションに 2 つのウィンドウ監査ポリシーオプションを追加します。
# auditconfig -lspolicy ... windata_down Include downgraded window information in audit records windata_up Include upgraded window information in audit records ...
auditconfig、auditreduce、および auditrecord の各コマンドは、Trusted Extensions 情報を処理できるように拡張されています。
auditconfig コマンドには、Trusted Extensions の監査ポリシーが含まれます。詳細は、auditconfig(1M) のマニュアルページを参照してください。
auditreduce コマンドでは、ラベルに従ってレコードをフィルタする –l オプションが追加されています。詳細は、auditreduce(1M) のマニュアルページを参照してください。
auditrecord コマンドには、Trusted Extensions の監査イベントが含まれます。