下面是一个描述的元素,类型和属性组成通用UNIX测试发现在开放的脆弱性和评估语言(椭圆形)。每一个测试是一个扩展的标准测试元素中定义的核心定义模式。通过扩展,每个测试继承了一组元素和属性之间共享的所有椭圆测试。每个测试详细描述,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。一个高水平的描述不同的测试及其之间的交互关系的核心定义模式这里没有列出。 椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。 UNIX的定义 5.11:5.11 12/18/2014 09:00:00我 版权(c) 2002 - 2014,斜方公司。manbetx客户端首页保留所有权利。这个文件的内容受到椭圆形的条款许可位于http://oval.mitre.org/oval/about/termsofuse.html。看到特定语言的椭圆形许可证管理权限和限制使用这种模式。当分发拷贝的椭圆模式,本授权头必须包括。 dnscache_test是用来检查时间生活域名和IP地址。时间住特定域名和IP地址从DNS缓存中检索本地系统。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用dnscache_object和可选状态元素指定元数据来检查。 dnscache_test dnscache_object dnscache_state dnscache_item ——对象dnscache_test必须引用一个dnscache_object的子元素 ——国家dnscache_test必须引用一个dnscache_state的子元素 dnscache_object dnscache_test用来指定域名(s)应收集从本地系统上的DNS缓存。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 过滤器中引用””是错误的类型。 domain_name元素指定的域名(s)应收集从DNS缓存到本地系统。 dnscache_state包含三个实体用于检查域名,生存时间,与DNS缓存条目相关联的IP地址。 domain_name元素包含一个字符串,该字符串代表一个域名的DNS缓存收集本地系统。 ttl元素包含一个整数,代表着时间住在秒的DNS缓存条目。 ip_address元素包含一个字符串,该字符串代表一个IP地址与指定的域名的DNS缓存收集本地系统。注意,可以IPv4和IPv6的IP地址。 关联的文件测试用于检查元数据与UNIX文件,由一个ls命令,返回的stat命令或stat()系统调用。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用file_object和可选状态元素指定元数据来检查。 file_test file_object file_state file_item ——对象file_test必须引用一个file_object的子元素 ——国家file_test必须引用一个file_state的子元素 file_object元素使用的文件测试来定义特定的文件(s)评估。file_object将收集所有UNIX文件类型(目录、常规文件字符设备、块设备,fifo,符号链接,和套接字)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 一个文件对象定义文件的路径和文件名。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileBehaviors复杂类型对具体行为。 文件的集合可以被识别和评估一个完整filepath或路径和文件名。只能选择其中一个选项。 重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。 过滤器中引用””是错误的类型。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 ——max_depth、递归和recurse_direction filepath实体的行为是不被允许的 ——recurse_file_system行为不能被设置为‘定义’模式匹配时使用filepath实体。 元素指定目录的路径组件的机器上的一个文件的绝对路径。 ——recurse_file_system行为不能被设置为‘定义’模式匹配时使用实体的路径。 ——max_depth行为不得使用模式匹配时使用实体的路径。 ——recurse_direction行为不得使用模式匹配时使用实体的路径。 ——递归行为不得使用模式匹配时使用实体的路径。 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真实如果欲望是测试与目录相关联的属性或权限。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 ——文件名实体不能是空的,除非xsi: nil属性设置为true或var_ref使用 file_state元素定义了不同的元数据与UNIX文件。这包括路径、文件名、类型组id、用户id、大小,等等。此外,还包括相关的许可文件。请参阅模式中各个元素的更多细节每一个代表什么。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件的名称。 这是文件的类型:常规文件(常规),目录,命名管道(fifo),特殊符号链接、套接字或块。 group_id实体代表文件的组所有者,通过组号码。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目这个元素代表文件的所有者。 这是文件最后一次访问的时间,在几秒钟内从Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。 这是最后的时间改变文件的inode,在几秒钟内从Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。一个inode是Unix数据结构存储所有的特定文件的信息。 这是最后的时间改变文件的内容,在几秒钟内从Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。 这是文件的大小,以字节为单位。 这个程序运行的uid(特权)文件的所有者,而不是调用用户? 这个程序运行的gid(特权)文件的群组的所有者,而不是调用用户组吗? 用户可以删除对方的这个目录中的文件,当表示目录可写的用户? 文件的所有者(用户所有者)可以读取这个文件,或者如果一个目录,读目录内容吗? 文件的所有者(用户所有者)可以写入该文件,或者如果一个目录,目录写? 文件的所有者(用户所有者)可以执行它,或者如果一个目录,变成目录吗? 文件的组所有者可以阅读该文件,或者如果一个目录,读目录内容吗? 文件的组所有者可以写这个文件,或者如果一个目录,目录写? 文件的组所有者可以执行它,或者如果一个目录,变成目录吗? 所有其他用户可以阅读该文件,或者如果一个目录,读目录内容吗? 其他用户可以写入该文件,或者如果一个目录,目录写? 其他用户可以执行这个文件,或者如果一个目录,变成目录吗? 文件或目录有ACL权限申请吗?如果文件或目录没有ACL,或它匹配标准的UNIX权限,将“假”值。否则,如果一个文件或目录有ACL,值将被“真实”。 FileBehaviors复杂类型定义了一个数量的行为,允许指定的file_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。 重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。 “max_depth”定义的最大递归深度执行recurse_direction时指定。值为“0”相当于没有递归,' 1 '意味着只有一个目录级别上升/下降,等等。默认值为“1”的含义没有限制。1的max_depth或任何值1或更多的起始目录递归搜索必须考虑。 注意,默认recurse_direction行为是“没有”所以即使max_depth指定默认情况下,没有限制recurse_direction行为将递归。 注意,这个行为与平等操作仅适用于道路上的实体。 “递归”定义了路径如何递归到实体,换句话说什么跟随在递归。选项包括符号链接、目录或两者兼而有之。注意,非0 max-depth必须指定为递归发生和该属性意味着什么。 注意,这个行为与平等操作仅适用于道路上的实体。 弃用属性值:属性值: 弃用属性值:属性值: 弃用属性值:属性值: 5.4 值“文件”,“文件和目录”和“没有”,因为它是不可能的递归删除文件和价值是为了‘没有’的意思是没有递归,然而,这已经被recurse_direction属性覆盖。 这些值已经弃用,在6.0版本的语言将被删除。 5.4 值“文件”,“文件和目录”和“没有”,因为它是不可能的递归删除文件和价值是为了‘没有’的意思是没有递归,然而,这已经被recurse_direction属性覆盖。 这些值已经弃用,在6.0版本的语言将被删除。 5.4 值“文件”,“文件和目录”和“没有”,因为它是不可能的递归删除文件和价值是为了‘没有’的意思是没有递归,然而,这已经被recurse_direction属性覆盖。 这些值已经弃用,在6.0版本的语言将被删除。 recurse_direction的递归定义了方向,父目录,“向上”或“向下”到子目录。默认值是“没有”没有递归。 注意,这个行为与平等操作仅适用于道路上的实体。 “recurse_file_system”定义的文件系统限制任何搜索和适用于所有操作在指定路径或filepath实体。“当地”的值限制了搜索范围到本地文件系统(而不是文件系统挂载从外部系统)。“定义”的价值一直在文件系统中的任何递归file_object(路径+文件名或filepath)指定。例如,如果指定的路径“/”,你只会搜索文件系统挂载,没有其它文件系统挂载后代路径。“定义”的价值仅适用于当一个平等操作用于搜索,因为路径或filepath实体必须显式地定义一个文件系统。默认值是“所有”意义为数据收集搜索所有可用的文件系统。 注意,在大多数情况下建议“当地”的价值被用来确保文件系统只能搜索本地文件系统。搜索所有的文件系统性能影响。 文件的扩展属性测试用于检查扩展属性值与UNIX文件,由getfattr返回的命令或getxattr()系统调用。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用fileextendedattribute_object和可选元素指定扩展属性检查状态。 注意:Solaris有着非常不同的实现的“扩展属性”属性是正交的文件目录层次结构。看到Solaris文档以了解更多的细节。文件的扩展属性测试只能处理简单的名称/值对所实现的其他大多数UNIX操作系统。 fileextendedattribute_test fileextendedattribute_object fileextendedattribute_state fileextendedattribute_item ——对象fileextendedattribute_test必须引用一个fileextendedattribute_object的子元素 ——国家fileextendedattribute_test必须引用一个fileextendedattribute_state的子元素 fileextendedattribute_object元素使用的文件扩展属性测试来定义特定文件(s)和属性(s)评估。fileextendedattribute_object将收集所有UNIX文件类型(目录、常规文件字符设备、块设备,fifo,符号链接,和套接字)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 一个文件扩展属性对象定义了路径,文件名和属性名称。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileExtendedAttributeBehaviors复杂类型对具体行为。 文件的集合可以被识别和评估一个完整filepath或路径和文件名。只能选择其中一个选项。 重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。 过滤器中引用””是错误的类型。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 ——max_depth、递归和recurse_direction filepath实体的行为是不被允许的 ——recurse_file_system行为不能被设置为‘定义’模式匹配时使用filepath实体。 元素指定目录的路径组件的机器上的一个文件的绝对路径。 ——recurse_file_system行为不能被设置为‘定义’模式匹配时使用实体的路径。 ——max_depth行为不得使用模式匹配时使用实体的路径。 ——recurse_direction行为不得使用模式匹配时使用实体的路径。 ——递归行为不得使用模式匹配时使用实体的路径。 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真正如果欲望是测试与目录相关联的属性。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 ——文件名实体不能是空的,除非xsi: nil属性设置为true或var_ref使用 attribute_name元素指定一个扩展属性的名称来评估。 fileextendedattribute_state元素定义了一个扩展属性与UNIX文件相关联。这包括路径、文件名、属性名和属性值。 filepath元素指定的机器上的一个文件的绝对路径。可以指定一个目录作为filepath。 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件的名称。 这是扩展属性的名称、标识符和关键。 价值实体代表了扩展属性的值或内容。测试一个没有价值的属性分配给它,这个实体将使用一个空值。 gconf_test用于检查相关的属性和值(s) GConf偏好的钥匙。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用gconf_object和可选gconf_state元素指定数据检查。 gconf_test gconf_object gconf_state gconf_item ——对象gconf_test必须引用一个gconf_object的子元素 ——国家gconf_test必须引用一个gconf_state的子元素 gconf_object元素gconf_test定义偏好使用的关键的资源收集和收集钥匙的偏好。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 过滤器中引用””是错误的类型。 这是偏好检查的关键。 源元素指定源收集偏好的关键。源由GConf XML文件的绝对路径作为GConf XML是当前的后端。注意,其他后端在未来可能已经变得可用。如果xsi: nil属性设置为“真”,偏好使用GConf守护进程关键是抬头。否则,偏好关键是使用指定的值在这个实体。 ——操作属性的源实体gconf_object应该“=” gconf_state元素定义了不同的信息,可以用来评估指定GConf偏好的关键。这包括关键的偏好,来源、类型、是否可写,最后修改的用户,这是最后修改的时候,无论是默认值,以及偏好的关键的价值。请参阅模式中各个元素的更多细节每一个代表什么。 首选项检查的关键。 源用于查找关键的偏好。 偏好的类型的关键。 偏好的关键可写的吗?如果这是真的,偏好关键是可写的。如果错误,偏好关键是没有可写的。 最后修改的用户偏好的关键。 偏好的关键是最后修改的时间秒自Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。 偏好键值是默认值。如果这是真的,偏好键值是默认值。如果错误,偏好键值不是默认值。 关键的价值偏好。 inetd测试用于检查信息与不同的网络服务。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个inetd_object和可选状态元素指定检查的信息。 inetd_test inetd_object inetd_state inetd_item ——对象inetd_test必须引用一个inetd_object的子元素 ——国家inetd_test必须引用一个inetd_state的子元素 inetd_object元素使用inetd测试来定义特定的协议服务评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 inetd对象由一个协议实体和service_name实体标识特定的服务进行测试。 过滤器中引用””是错误的类型。 /etc/inet/protocols.认可协议中列出的文件 一个有效的名字服务中列出的服务文件。对于RPC服务,服务名称字段的值由RPC服务名称或项目号码,紧随其后的是一个“/”(削减)和版本号或一系列的版本号(例如,rstatd / 2 - 4)。 inetd_state元素定义了不同的信息关联到一个特定的网络服务。请参阅模式中各个元素的更多细节每一个代表什么。 /etc/inet/protocols.认可协议中列出的文件 一个有效的名字服务中列出的服务文件。对于RPC服务,服务名称字段的值由RPC服务名称或项目号码,紧随其后的是一个“/”(削减)和版本号或一系列的版本号(例如,rstatd / 2 - 4)。 要调用一个服务器程序的路径名由inetd执行所请求的服务,或价值内部如果inetd本身提供了服务。 运行服务的理由。这些都是传递给服务器程序调用inetd,或用于配置服务由inetd提供。在服务器程序的情况下,参数应以argv[0]开始,这通常是程序的名称。int提供的服务,第一个参数应“内部”这个词。 端点类型(又名、套接字类型)与服务相关联。 用户服务器程序的用户id下运行。(这允许使用权限低于根)。 这个字段有值或nowait等。这个条目指定是否由inetd调用的服务器将接管与服务相关的监听套接字,以及是否一旦启动,inetd将等待服务器退出,如果有的话,之前简历监听新的服务请求。 接口测试系统上列举了各种属性的接口。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个interface_object和可选状态元素指定检查的接口信息。 interface_test interface_object interface_state interface_item ——对象interface_test必须引用一个interface_object的子元素 ——国家interface_test必须引用一个interface_state的子元素 interface_object元素使用一个接口测试来定义特定的接口(s)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 一个接口对象包含一个名称的实体标识接口被指定。 过滤器中引用””是错误的类型。 name元素是接口(eth0、eth1 fw0,等等)的名字来检查。 interface_state元素列举了不同的属性与Unix接口。请参阅模式中各个元素的更多细节每一个代表什么。 name元素是接口(eth0、eth1 fw0,等等)的名字来检查。 元素指定类型的接口类型。 hardware_addr元素是硬件或物理网卡的MAC地址。MAC地址应该显示格式化的IEEE 802 - 2001标准即一个MAC地址是六个八位字节的序列值,由连字符分隔,每个八隅体由两个十六进制数字。还应使用大写字母来表示十六进制数字A到F。 这是接口的IP地址。注意,可以IPv4和IPv6的IP地址。如果IPv6地址的IP地址,该实体将表示为IPv6地址前缀使用CIDR标记和子网掩码实体将不会被收集。 这是这个接口的网络广播的IP地址。注意,可以IPv4和IPv6的IP地址。 这是一位掩码用来计算接口的IP网络。网络数字计算bitwise-ANDing这个IP地址。计算网络的主机号码bitwise-XORing这个IP地址。注意,如果inet_addr实体包含一个IPv6地址前缀,这个实体不会被收集。 国旗实体表示接口标志线,通常包含旗帜像“了”表示一个活跃的界面,“PROMISC”注意接口侦听以太网帧没有特别处理,等等。这个元素可以包含多个次系统特征项,以记录大量的旗帜。注意entity_check属性与EntityStateStringType导游这样的实体,是指商品的评价,会出现一个无界的次数。 /etc/passwd.看到passwd (4)。 密码测试用于检查与UNIX密码文件,相关的元数据的返回的passwd命令。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用password_object和可选状态元素指定元数据来检查。 password_test password_object password_state password_item ——对象password_test必须引用一个password_object的子元素 ——国家password_test必须引用一个password_state的子元素 password_object元素使用密码测试定义对象评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 组成一个单一的用户名密码对象实体标识的用户(s)密码是被评估。 过滤器中引用””是错误的类型。 用户(s)账户的密码是被评估。 password_state元素定义了不同的信息与系统相关的密码。请参阅模式中各个元素的更多细节每一个代表什么。 更多详细信息,请参见在/ etc / passwd文件的字段。 UNIX帐户名称。 这是用户的密码的加密版本。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目 主要的id UNIX用户所属组。 从/ etc / passwd GECOS(或GCOS)字段;通常包含用户的全名。 用户的主目录。 用户的shell程序。 最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,1970年1月1日UTC。 测试是用来检查过程中发现的UNIX进程的信息。它相当于解析ps命令的输出。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用process_object和可选状态元素指定检查的过程信息。 process_test process_object process_state process_item 5.8 process_test已经被废弃,被process58_test所取代。进程的命令行不能用于唯一地标识一个过程。因此,实体添加到process58_object pid。请参见process58_test附加信息。 弃用测试:ID: ——对象process_test必须引用一个process_object的子元素 ——国家process_test必须引用一个process_state的子元素 process_object元素使用的流程测试定义的具体流程(es)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 过程对象定义使用命令行启动过程(es)。 5.8 process_object已经被废弃,被process58_object所取代。进程的命令行不能用于唯一地标识一个过程。因此,实体添加到process58_object pid。请参见process58_object附加信息。 弃用对象:ID: 元素指定命令的命令/检查项目名称。 process_state元素定义了不同的元数据与UNIX进程相关联。这包括命令行、pid、ppid、优先级和用户id。请参阅模式中各个元素的更多细节每一个代表什么。 5.8 process_state已经被废弃,被process58_state所取代。进程的命令行不能用于唯一地标识一个过程。因此,实体添加到process58_object pid。请参见process58_state附加信息。 弃用状态:ID: 元素指定命令的命令/检查项目名称。 这是累积的CPU时间,格式化(DD -) HH: MM: SS DD时的天数执行时间是24小时或更多。 这是进程的进程ID。 这是进程的父进程的进程ID。 这是过程运行的调度优先级。这可以调整好()系统调用命令或好。 这是真正的用户id代表用户创建的过程。 一个特定于平台的特性由调度程序维护:RT(实时)、TS(分时),FF (fifo)系统(系统)等。 这是一天中不同的时间流程开始格式化HH: MM: SS如果当天流程启动或格式化MMM_DD(例:Feb_5)如果过程开始前一天或进一步在过去。 这是遥控过程的开始,如果适用的话。 这是一个有效的用户id代表的实际特权的过程。 process58_test用于检查中发现的UNIX进程的信息。它相当于解析ps命令的输出。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用process58_object和可选状态元素引用process58_state指定检查的过程信息。 process58_test process58_object process58_state process58_item ——对象process58_test必须引用一个process58_object的子元素 ——国家process58_test必须引用一个process58_state的子元素 process58_object元素使用process58_test定义的具体流程(es)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 process58_object定义所使用的命令行启动进程(es)和pid。 过滤器中引用””是错误的类型。 command_line实体是字符串用于启动过程。这包括任何参数的命令行。 pid实体是进程的进程ID。 process58_state元素定义了不同的元数据与UNIX进程相关联。这包括命令行、pid、ppid、优先级和用户id。请参阅模式中各个元素的更多细节每一个代表什么。 这是字符串用于启动过程。这包括任何参数的命令行。 这是累积的CPU时间,格式化(DD -) HH: MM: SS DD时的天数执行时间是24小时或更多。 这是进程的进程ID。 这是进程的父进程的进程ID。 这是过程运行的调度优先级。这可以调整好()系统调用命令或好。 这是真正的用户id代表用户创建的过程。 一个特定于平台的特性由调度程序维护:RT(实时)、TS(分时),FF (fifo)系统(系统)等。 这是一天中不同的时间流程开始格式化HH: MM: SS如果当天流程启动或格式化MMM_DD(例:Feb_5)如果过程开始前一天或进一步在过去。 这是遥控过程的开始,如果适用的话。 这是一个有效的用户id代表的实际特权的过程。 一个布尔值,当真正将表明ExecShield启用的过程。 loginuid显示占用户获得对系统的访问。/proc/XXXX/loginuid显示这个值。 一个有效的功能与流程。看到linux / include / linux /能力。h的更多信息。 一个selinux域标签相关的过程。 过程的会话ID。 routingtable_test用于检查信息IPv4和IPv6路由表条目中找到一个系统的主要路由表。重要的是要注意,只有数值地址将收集和他们的符号表示将不会得到解决。这相当于用“n”选项(8)或netstat (8)。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用routingtable_object和可选routingtable_state元素指定数据检查。 routingtable_test routingtable_object routingtable_state routingtable_item ——对象routingtable_test必须引用一个routingtable_object的子元素 ——国家routingtable_test必须引用一个routingtable_state的子元素 routingtable_object元素routingtable_test定义使用的目的地IP地址(es),发现系统中主要的路由表,收集。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 过滤器中引用””是错误的类型。 这是目的地IP地址的路由表条目检查。 routingtable_state元素定义了不同的信息,可以用来检查一个条目中找到一个系统的主要路由表。这包括目的地IP地址、网关、子网掩码、旗帜,和与之相关的接口的名称。请参阅模式中各个元素的更多细节每一个代表什么。 目的IP地址前缀的路由表条目。这是目的地IP地址和子网掩码/ prefix-length使用CIDR标记表示。 指定的网关路由表条目。 与指定的路由表条目相关联的标记。 接口的名称与路由表条目。 运行级别测试用于检查信息运行级别指定的服务都将存在。更多信息见chkconfig——列表生成的输出。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用runlevel_object和可选状态元素指定数据检查。 runlevel_test runlevel_object runlevel_state runlevel_item ——对象runlevel_test必须引用一个runlevel_object的子元素 ——国家runlevel_test必须引用一个runlevel_state的子元素 runlevel_object元素使用runlevel_test定义特定的服务(s) /运行级别组合评价。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 过滤器中引用””是错误的类型。 service_name实体是指与服务相关联的名称。这个名字通常是脚本文件的文件名位于/etc/init.d目录。 系统运行级别检查。运行级别是定义为一个软件系统的配置,只允许存在一组被选的过程。 runlevel_state元素包含如下信息,是否一个特定的服务计划启动或停止在一个给定的运行级别。请参阅模式中各个元素的更多细节每一个代表什么。 service_name实体是指与服务相关联的名称。这个名字通常是脚本文件的文件名位于/etc/init.d目录。 运行级别的实体是指系统运行级别与服务有关。运行级别是定义为一个软件系统的配置,只允许存在一组被选的过程。 开始实体决定如果流程将在指定的级别了。 杀死实体决定如果流程应该是死于指定的运行级别。 sccs_test sccs_object sccs_state sccs_item 5.10 sccs_test已经弃用,因为源代码控制系统(癌)已经过时了。sccs_test可能删除在未来版本的语言。 弃用测试:ID: ——对象sccs_test必须引用一个sccs_object的子元素 ——国家sccs_test必须引用一个sccs_state的子元素 文件的集合可以被识别和评估一个完整filepath或路径和文件名。只能选择其中一个选项。 重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。 5.10 sccs_object已经弃用,因为源代码控制系统(癌)已经过时了。sccs_object可能删除在未来版本的语言。 弃用对象:ID: 过滤器中引用””是错误的类型。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 ——max_depth、递归和recurse_direction filepath实体的行为是不被允许的 ——recurse_file_system行为不能被设置为‘定义’模式匹配时使用filepath实体。 元素指定目录的路径组件的一个癌文件的绝对路径。 ——recurse_file_system行为不能被设置为‘定义’模式匹配时使用实体的路径。 ——max_depth行为不得使用模式匹配时使用实体的路径。 ——recurse_direction行为不得使用模式匹配时使用实体的路径。 ——递归行为不得使用模式匹配时使用实体的路径。 一个癌文件的名称。 ——文件名实体不能是空的,除非xsi: nil属性设置为true或var_ref使用 5.10 sccs_state已经弃用,因为源代码控制系统(癌)已经过时了。sccs_state可能删除在未来版本的语言。 弃用状态:ID: filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 元素指定目录的路径组件的一个癌文件的绝对路径。 这是一个癌文件的名称。 影子测试用于检查来自/etc/shadow文件为一个特定用户的信息。这个文件包含用户的密码,而且他们的密码老化和锁定信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个shadow_object和可选状态元素指定检查的信息。 shadow_test shadow_object shadow_state shadow_item ——对象shadow_test必须引用一个shadow_object的子元素 ——国家shadow_test必须引用一个shadow_state的子元素 shadow_object元素被一个影子测试定义影子文件来评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 shdow对象由一个单用户实体标识的用户名associted影子文件。 过滤器中引用””是错误的类型。 shadows_state元素定义了不同的信息与系统相关联的影子文件。请参阅模式中各个元素的更多细节每一个代表什么。 这是检查用户的名称。 这是用户的密码的加密版本。 这是最后一个密码更改的日期自1/1/1970天。 这个指定的频率在天用户可能会改变他们的密码。它也可以被认为是密码的最低年龄。 这描述了一个密码用户可以借多久之前系统迫使她改变它。 这描述了系统密码过期前多久开始警告用户。在每个登录系统会警告用户。 exp_inact实体描述帐户多少天不活动后系统将等待一个密码到期之前锁定帐户。Unix系统通常配置为只允许给定密码持续一段固定的时间。这次,chg_req参数时,接近耗尽,系统开始警告用户每次登录。多久之前过期用户接收到这些警告在exp_warn中指定。这种设计唯一的障碍是,用户不能登录时间账户过期之前曾收到一个警告。exp_inact参数给出了sysadmin的灵活性,以便用户到达的过期时间收益exp_inact天手动登录和改变自己的密码。 这将指定账户的密码什么时候到期,自1/1/1970几天。 这是一个保留字段,影子文件可能在未来使用。 encrypt_method实体描述方法,用于哈希密码。 symlink_test用于获取正则路径信息符号链接。 symlink_test symlink_object symlink_state symlink_item ——对象symlink_test必须引用一个symlink_object的子元素 ——国家symlink_test必须引用一个symlink_state的子元素 symlink_object元素symlink_test定义对象使用的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 symlink_object由filepath实体包含一个符号链接文件的路径。结果项标识的规范路径链接目标(符合它的最终目的地,如果中间有链接),一个错误如果链接目标不存在或者是一个圆形的链接(例如,本身的链接)。如果文件位于filepath不是一个符号链接,或如果没有文件位于filepath,那么任何生成的项目本身有一个不存在的状态。 过滤器中引用””是错误的类型。 指定的filepath符号链接。 symlink_state元素定义一个值用来评估特定symlink_object项的结果。 指定filepath用来创建对象。 指定了正则路径的目标filepath指定的一个符号链接文件。 sysctl_test用于检查值与所使用的内核参数是本地系统。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用sysctl_object和可选状态元素引用sysctl_state指定检查的信息。 sysctl_test sysctl_object sysctl_state sysctl_item ——对象sysctl_test必须引用一个sysctl_object的子元素 ——国家sysctl_test必须引用一个sysctl_state的子元素 使用sysctl_object sysctl_test定义应该收集哪些内核参数在本地系统上。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 过滤器中引用””是错误的类型。 name元素指定的名称(s)内核参数(s)应收集从本地系统。 sysctl_state包含两个实体,用于检查内核参数名称和值。 元素包含一个字符串名称代表的名称来自本地系统内核参数。 元素包含一个字符串的值表示的值(s)与指定的内核参数。 uname测试显示机器的硬件上运行的信息。这个信息是相当于uname -解析。例如:“Linux夸克2.6.5-7.108-default # 1结婚2004年8月25日13:34:40 UTC i686 i686 i386 GNU / Linux”或“达尔文TestHost 7.7.0达尔文内核版本7.7.0:太阳2004年11月7日16:06:51 PST;根:xnu / xnu-517.9.5。obj ~ 1 / RELEASE_PPC Macintosh powerpc力量”。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用uname_object和可选状态元素指定元数据来检查。 uname_test uname_object uname_state uname_item ——对象uname_test必须引用一个uname_object的子元素 ——国家uname_test必须引用一个uname_state的子元素 uname_object元素使用uname测试定义这些对象来评估基于指定的状态。实际上只有一个对象有关uname系统作为一个整体。因此,没有子实体的定义。任何椭圆形测试书面检查uname将引用相同的uname_object基本上是一个空对象元素。 uname_state元素定义了硬件机器运行的信息。请参阅模式中各个元素的更多细节每一个代表什么。 这个实体指定机器硬件的名字。这对应于命令uname - m。 这个实体指定主机名。这对应于命令uname - n。 这个实体指定一个操作系统的名称。这对应于命令uname - s。 这个实体指定一个构建版本。这对应于命令uname - r。 这个实体指定一个操作系统版本。这对应于命令uname - v。 这个实体指定处理器类型。这对应于命令uname - p。 xinetd测试用于检查信息与不同的网络服务。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个inetd_object和可选状态元素指定检查的信息。 xinetd_test xinetd_object xinetd_state xinetd_item ——对象xinetd_test必须引用一个xinetd_object的子元素 ——国家xinetd_test必须引用一个xinetd_state的子元素 xinetd测试所使用的xinetd_object元素来定义特定的协议服务评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 xinetd对象由一个协议实体和service_name实体标识特定的服务进行测试。 过滤器中引用””是错误的类型。 协议实体指定使用的协议服务。有效协议的列表可以在/etc/protocols.找到 service_name实体指定服务的名称。 xinetd_state元素定义了不同的信息关联到一个特定的网络服务。请参阅模式中各个元素的更多细节每一个代表什么。 协议实体指定使用的协议服务。有效协议的列表可以在/etc/protocols.找到 service_name实体指定服务的名称。 旗帜实体指定杂项设置相关的服务。 no_access实体指定的远程主机服务不可用。请参见xinetd.conf(5)手册页获得不同格式的信息,可以用来描述一个主机。 only_from实体指定的远程主机服务是可用的。请参见xinetd.conf(5)手册页获得不同格式的信息,可以用来描述一个主机。 使用的端口实体指定端口服务。 服务器实体指定可执行文件,用于启动该服务。 server_arguments实体指定的参数传递到可执行时启动该服务。 socket_type实体指定使用的套接字类型的服务。可能的值包括:流、dgram生,或seqpacket。 实体类型指定类型的服务。 用户实体指定进程的用户标识符运行服务。用户标识符可以表示为一个数值或存在于/etc/passwd.作为用户名 等实体指定服务是否单线程和多线程xinetd是否接受连接或服务接受连接。“真实”的价值表示服务是单线程和服务将接受连接。“假”值表明,服务是多线程和xinetd将接受连接。 残疾人实体指定是否服务是禁用的。“真正的”表明,服务的价值是禁用的,不会开始。“假”值表明,服务不是残疾人。 EntityStateCapabilityType复杂类型限制一个字符串值一组特定的值来描述POSIX功能类型相关的流程服务。这个列表中定义的值是基于linux / include / linux / capability.h。文档在capability.h可以找到每个允许的值。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateEndpointType复杂类型限制字符串值到一个特定的值来描述端点类型与互联网有关的服务。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 流值是用来描述一个流套接字。 dgram值是用来描述一个数据报套接字。 原始值用于描述原始套接字。 seqpacket值用于描述一个测序包套接字。 tli值用于描述所有tli端点。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateGconfTypeType复杂类型限制GCONF_VALUE_STRING七个值的字符串值,GCONF_VALUE_INT, GCONF_VALUE_FLOAT, GCONF_VALUE_BOOL, GCONF_VALUE_SCHEMA, GCONF_VALUE_LIST, GCONF_VALUE_PAIR指定数据类型与GConf偏好键相关联的值。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 GCONF_VALUE_STRING类型是用来描述偏好的关键一个字符串值。 GCONF_VALUE_INT类型用于描述一个键有整数的值的偏好。 GCONF_VALUE_FLOAT类型用于描述一个键有浮动值的偏好。 GCONF_VALUE_BOOL类型是用来描述偏好的关键,一个布尔值。 GCONF_VALUE_SCHEMA类型用于描述一个模式的价值偏好的关键。实际的值将被作为GConf模式中指定的默认值。 GCONF_VALUE_LIST类型是用来描述偏好的关键值的列表。实际值将原始GConf数据类型GCONF_VALUE_STRING之一,GCONF_VALUE_INT, GCONF_VALUE_FLOAT GCONF_VALUE_BOOL, GCONF_VALUE_SCHEMA。注意,所有的值与GCONF_VALUE_LIST必须有相同的类型。 GCONF_VALUE_PAIR类型用于描述一个偏好值的关键,有一对。的实际价值将由原始GConf数据类型GCONF_VALUE_STRING GCONF_VALUE_INT, GCONF_VALUE_FLOAT GCONF_VALUE_BOOL, GCONF_VALUE_SCHEMA。注意,与GCONF_VALUE_PAIR相关联的值不需要有相同的类型。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateRoutingTableFlagsType复杂类型限制一个字符串值描述一组特定的值与一个路由表条目相关联的标记。这个列表是基于各种平台的手册页中定义的值。对于Linux,请参阅路线(8)。为Solaris,请参阅netstat(1米)。对于hp - ux,请参阅netstat (1)。Mac OS,请参阅netstat (1)。FreeBSD,请看到netstat (1)。文档在每个允许的值可以在前面列出的手册页。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 下表是一个通用的国旗枚举值之间的映射和实际标志值在不同的平台上找到。如果国旗值没有指定,为特定的通用标志枚举值,标志值没有定义的平台。 名字Linux Solaris HPUX Mac OS FreeBSD AIX U U U U网关G G G G G G主机H H H H H R H恢复动态D D D D D M M M M ADDRCONF修改缓存C e拒绝!R R R冗余M (> = 9) SETSRC S当地广播B B B B L L PROTOCOL_1 1 1 1 PROTOCOL_2 2 2 2 PROTOCOL_3 3 3 3 BLACK_HOLE B B克隆C C C PROTOCOL_CLONING C C INTERFACE_SCOPE我LINK_LAYER L L L多播M M静态年代年代WAS_CLONED W W W XRESOLVE X X可用u固定P ACTIVE_DEAD_GATEWAY_DETECTION (> = 5.1) 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateXinetdTypeStatusType复杂类型限制一个字符串值5个值,要么RPC,内部,未上市,TCPMUX或TCPMUXPLUS指定类型的服务在xinetd注册。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 内部类型是用于描述服务,如回声,chargen等的功能是由xinetd本身。 RPC类型是用于描述使用ala NFS远程过程调用的服务。 未上市的类型是用于描述服务,并不在/etc/protocols或/etc/rpc.上市 TCPMUX类型是用于描述服务符合RFC 1078。这种类型indiciates服务负责处理协议握手。 TCPMUXPLUS类型是用于描述服务符合RFC 1078。这种类型表明xinetd负责处理协议的握手。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateWaitStatusType复杂类型限制两个值的字符串值,等待或者nowait,指定是否由inetd调用的服务器将接管与服务相关的监听套接字,以及是否一旦启动,inetd将等待服务器退出,如果有的话,之前简历监听新的服务请求。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 “等待”的值指定由inetd调用的服务器将接管与服务相关的监听套接字,一旦启动,inetd将等待服务器退出,如果有的话,之前简历监听新的服务请求。 “nowait”指定的价值由inetd调用的服务器不会等待任何现有的服务器完成之前接管与服务相关联的监听套接字。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateEncryptMethodType复杂类型限制一个字符串值对应于一组允许加密方法用于在影子文件密码保护。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 DES方法对应于()没有一个前缀。 BSDi方法对应于BSDi修改DES或“_”前缀。 MD5方法对应于Linux / BSD MD5或$ 1 $前缀。 河豚方法对应于河豚(OpenBSD)或2美元或美元$ 2 $前缀。 太阳MD5算法MD5美元对应的前缀。 sha - 256方法对应于5美元前缀。 sha - 512方法对应于6美元前缀。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateInterfaceType复杂类型限制一个字符串值一组特定的值。这些值描述的不同接口类型中定义“if_arp.h”。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 ARPHRD_ETHER类型是用来描述以太网接口。 ARPHRD_FDDI类型是用来描述光纤分布式数据接口(FDDI)。 ARPHRD_LOOPBACK类型是用来描述环回接口。 ARPHRD_VOID类型是用来描述未知的接口。 ARPHRD_PPP类型是用来描述的点对点协议(PPP)的接口。 ARPHRD_SLIP类型是用来描述串行线互联网协议接口(滑)。 ARPHRD_PRONET类型是用来描述PROnet令牌环接口。 空字符串值允许在这里允许空元素与变量引用相关联。