下面是一个描述的元素,类型和属性组成MacOS特定系统中特征项开放脆弱性和评估语言(椭圆形)。每个条目是一个扩展的标准测试元素中定义的核心定义模式。通过扩展,每个测试继承了一组元素和属性之间共享的所有椭圆测试。每个测试详细描述,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。一个高水平的描述不同的测试及其之间的交互关系的核心定义模式这里没有列出。 MacOS的系统特征模式最初开发的网络安全中心。非常感谢他们的贡献,椭圆形和安全社区。 椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。 MacOS的系统特征 5.11:5.11 12/18/2014 09:00:00我 版权(c) 2002 - 2014,斜方公司。manbetx客户端首页保留所有权利。这个文件的内容受到椭圆形的条款许可位于http://oval.mitre.org/oval/about/termsofuse.html。看到特定语言的椭圆形许可证管理权限和限制使用这种模式。当分发拷贝的椭圆模式,本授权头必须包括。 这个项目存储党卫军账户信息(用户名、uid、gid等等)。 用户相关信息收集。 混淆(* * * * *)或为该用户加密的密码。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目这个元素代表文件的所有者。 该帐户的组ID。 用户的真实姓名,又名/etc/passwd. gecos字段 该用户帐户的主目录。 该用户帐户的登录shell。 这个项目存储结果检查authorizationdb权利的内容。 指定的right_name项目指定。 指定Xpath表达式描述文本节点(s)或属性(s)。 value_of元素检查文本节点的值(s) (s)或属性(s)。这是如何使用完全是由操作员控制属性。 这个项目存储结果检查CoreStorage XML plist信息的内容。 指定数量的UUID的plist信息检索。 指定Xpath表达式描述文本节点(s)或属性(s)。 value_of元素检查文本节点的值(s) (s)或属性(s)。这是如何使用完全是由操作员控制属性。 diskutil_item持有验证信息单个磁盘在Mac OS系统。每个diskutil_item包含一个设备,filepath,实际的权限不同于预期的权限。有关更多信息,请参见diskutil (8)。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 设备实体是一个字符串,表示磁盘在Mac OS系统来验证。请参阅diskutil(8)说明如何指定设备。 filepath元素指定一个文件或目录的绝对路径指定的设备。 实际的用户读权限改变了从预期的用户读权限? 实际的用户写权限改变了从预期的用户写权限? 实际的用户执行权限改变了从预期的用户执行权限吗? 实际的读权限组改变了从预期的读权限? 实际的写权限组改变了从预期的写权限? 实际的组执行许可改变了从预期的集团高管允许吗? 实际的其他人读权限改变了从预期的其他人读权限? 实际的其他人写权限改变了从预期的别人写权限? 实际的其他人执行许可改变了从预期的其他行政许可? 这个项目存储结果检查看门人的设置。 看门人的状态评估。 一个未签名的应用程序文件夹的路径,看门人已经授予执行权限。 inet监听服务器项存储的结果检查网络服务器系统上当前活动。 5.10 inetlisteningserver_item已经被废弃,被inetlisteningserver510_item所取代。应用程序的名字不能用于唯一地标识一个应用程序,该应用程序监听网络。因此,inetlisteningserver510_object利用协议,local_address, local_port实体来唯一地标识应用程序监听网络。请参见inetlisteningserver510_item附加信息。 弃用单品:ID: 这是交流项目的名称。 这是IP地址的网络接口程序监听。注意,可以IPv4和IPv6的IP地址。 这个IP地址和网络端口的程序监听,相当于local_address: local_port。注意,可以IPv4和IPv6的IP地址。 这是TCP或UDP端口的监听程序。注意,这不是一个列表,如果一个程序监听多个端口,或TCP和UDP的组合,每个都会有自己的条目在表中存储的数据项。 这是程序的IP地址是沟通,或与它交流,听力的情况下服务器。注意,可以IPv4和IPv6的IP地址。 这个IP地址和网络端口的程序或将接受通信交流,相当于foreign_address: foreign_port。注意,可以IPv4和IPv6的IP地址。 这是TCP或UDP端口的程序进行通信。在一个监听程序接受新连接的情况下,这通常是一个*。 这是进程的进程ID。这个过程在程序的问题是,网络上的交流。 传输层协议,这是在小写:tcp或udp。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目它代表了所有者,因此特权级别,指定的项目。 inet监听服务器项存储的结果检查网络服务器系统上当前活动。 传输层协议,这是在小写:tcp或udp。 这是IP地址的网络接口程序监听。注意,可以IPv4和IPv6的IP地址。 这是TCP或UDP端口的监听程序。注意,这不是一个列表,如果一个程序监听多个端口,或TCP和UDP的组合,每个都会有自己的条目在表中存储的数据项。 这个IP地址和网络端口的程序监听,相当于local_address: local_port。注意,可以IPv4和IPv6的IP地址。 这是交流项目的名称。 这是程序的IP地址是沟通,或与它交流,听力的情况下服务器。注意,可以IPv4和IPv6的IP地址。 这是TCP或UDP端口的程序进行通信。在一个监听程序接受新连接的情况下,这通常是一个*。 这个IP地址和网络端口的程序或将接受通信交流,相当于foreign_address: foreign_port。注意,可以IPv4和IPv6的IP地址。 这是进程的进程ID。这个过程在程序的问题是,网络上的交流。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目它代表了所有者,因此特权级别,指定的项目。 这个项目存储结果检查钥匙链的设置。 指定的filepath钥匙链。 指定密钥链是否配置为锁睡眠。 钥匙链的不活动超时时间(以秒为单位),或0如果没有超时。 这个项目存储结果检查launchd-controlled守护进程/代理。 指定代理的名称/守护进程。 指定这个守护进程的进程ID(如果有的话)。 指定的最后退出代码守护进程(如果有的话),或者如果$ lt;0,表明负的信号中断处理。例如,值-15将表明,工作是通过SIGTERM终止。 nvram - p的输出 一个nvram variabl。 这是相关的nvram变量的值。 plist_item拥有个人信息属性列表关键系统上发现的偏好。每个plist_item包含一个偏好键,应用程序标识符或filepath,类型,以及偏好的关键价值。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 首选项检查的关键。 独特的应用程序标识符指定应用程序时使用查找偏好键(例如com.apple.Safari)。 plist文件的绝对路径(例如~ /图书馆/偏好/ com.apple.Safari.plist)。 偏好的关键发现的实例plist。第一个实例匹配的关键是优先选择的实例的值为1,第二个实例匹配的关键是优先选择的实例值2,等等。实例的值必须分配使用深度优先的方法。注意,这个实体的主要目的是提供独特性的不同plist_items结果从一个给定的多个实例偏好相同的plist文件的关键。 偏好的类型的关键。 关键的价值偏好。 输出“pwpolicy -getpolicy”。请参见“pwpolicy”手册页获得额外的信息。 5.9 被pwpolicy59_item所取代。用户名、userpass directory_node pwpolicy_item中的实体被遗漏,因此他们的意义是不确定的。创建一个新项目来解决这个问题。看到pwpolicy59_item。 这个项目已经弃用,可以在未来版本的语言。 弃用单品:ID: 密码中最大允许的字符数。 最大数量的失败登录锁定账户之前。 密码中最低允许的字符数。 定义是否允许密码与用户名相同。 定义是否密码必须包含一个字母字符。 定义如果密码必须包含数字字符。 pwpolicy59_item持有特定用户的密码策略信息target_user指定的元素。请参见“pwpolicy”手册页获得额外的信息。 target_user元素指定用户的密码政策信息收集。 用户名元素指定身份验证的用户名。 userpass元素指定密码身份验证的用户名指定的元素。 directory_node元素指定密码策略的目录节点信息收集。 密码中最大允许的字符数。 最大数量的失败登录锁定账户之前。 密码中最低允许的字符数。 定义是否允许密码与用户名相同。 定义是否密码必须包含一个字母字符。 定义如果密码必须包含数字字符。 最大数量的分钟直到密码必须改变。 密码更改之间的最小数量的分钟。 定义如果密码必须包含大写和小写字符。 定义如果密码必须包含一个符号字符。 数分钟后登录已禁用由于太多失败的登录尝试使再能登录前等待。 0 =用户可以重用当前密码,1 =用户不能重用当前密码,男童=用户不能重用最后n密码。 如果这是真的,用户可以更改密码。 如果这是真的,用户需要更改密码在expirationDateGMT日期 如果这是真的,禁用用户帐户在hardExpireDateGMT日期 密码到期的日期,格式是:mm / dd / yyyy。注意:今年pwpolicy命令返回两个数字值,但是椭圆形使用数字四年;pwpolicy值转换为一个椭圆形兼容的价值。 用户的账户被禁用,日期格式是:mm / dd / yyyy。注意:今年pwpolicy命令返回两个数字值,但是椭圆形使用数字四年;pwpolicy值转换为一个椭圆形兼容的价值。 用户的账户被禁用后间隔 用户的账户被禁用如果没有访问这个区间 如果这是真的,用户将被提示输入新密码在下次认证。 rlimit_item包含信息资源限制launchd。 资源限制被指定为软(当前)限制和困难(max)限制。当软限制超过一个进程可能会收到一个信号(例如,如果cpu时间或文件大小超过),但它将被允许继续继续继续执行,直到它到达硬限制(或修改它的资源限制)。 对于任何“无限的”资源,实体将‘不存在’的状态。 最大数量的cpu时间(以秒为单位)所使用的每一个过程。 cpu硬限制。 的最大大小(以字节为单位)可能被创建的文件。 文件大小的硬限制。 的最大大小(以字节为单位)数据段的过程;这个程序定义了多远可能延长其打破sbrk(2)系统调用。 数据硬限制。 的最大大小(以字节为单位)堆栈段的过程;这定义了程序的堆栈段可以延长。栈由系统自动执行的延伸。 堆栈硬限制。 的最大大小(以字节为单位)可能被创建的核心文件。 核心的硬限制。 的最大大小(以字节为单位)进程驻留集的大小可能会增长。这对物理内存的数量限制为一个过程;如果内存紧张,该系统将更愿意从进程内存超过他们宣布驻留集大小。 rss硬限制。 的最大大小(以字节为单位),这一过程可能锁定内存使用mlock(2)函数。 memlock硬限制。 同步过程的最大数量为这个用户id。 maxproc硬限制。 打开文件的最大数量为这个过程。 maxfiles硬限制。 这个项目代表自动软件更新信息。 指定是否启用了自动检查(真正的)。 指定的标题字符串可用软件更新(未安装)。 这个项目存储上执行XPATH查询结果的XML结果systemprofiler数据类型查询。 指定用于收集的数据类型。 指定Xpath表达式描述文本节点(s)或属性(s)。 value_of元素检查文本节点的值(s) (s)或属性(s)。这是如何使用完全是由操作员控制属性。 这个项目是系统设置信息。 当前时区指定的名称。 指定了机器使用网络时间枯萎。 指定网络时间服务器。 指定计算机睡眠不活动定时器,从不或0。 指定显示睡眠不活动定时器,从不或0。 指定硬盘睡眠不活动定时器,从不或0。 指定的计算机是否会醒来如果访问调制解调器。 指定的计算机是否会醒来,如果网络访问。 指定是否冻结后的计算机将重新启动。 指定的计算机是否断电后重启。 指定是否可以使用电源按钮导致电脑睡觉。 指定是否允许远程登录。 指定是否启用远程苹果事件。 指定的计算机的名称。 指定本地子网的名称。 指定启动磁盘。 指定的秒数电脑等待断电后启动。 指定键盘是否锁定关闭锁订婚了。 指定内核引导架构设置。 EntityItemDataTypeType复杂类型定义了不同的值是有效的data_type实体system_profiler项目。这些值描述system_profiler XML数据检索。空字符串也可以作为一个有效的值来支持一个空元素,发现当一个变量引用中使用索引的实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。请注意,data_type的值确定实体和无效数据类型属性的值。 空字符串值允许在这里允许详细的错误报告。 EntityItemPermissionCompareType复杂类型限制字符串值更多,更少,或同一指定如果一个实际的权限是不同的比预期的权限(或多或少的限制)或者许可是相同的。空字符串也可以支持空元素与错误条件有关。 实际的许可比预期的更严格的许可。 实际的许可是低于预期的限制许可。 实际的权限是一样的预期的许可。 空字符串值允许在这里允许详细的错误报告。 EntityItemPlistTypeType复杂类型限制CFString七个值的字符串值,CFNumber, CFBoolean, CFDate, CFData, CFArray, CFDictionary指定的类型与属性列表选择键相关联的值。空字符串也可以支持空元素与错误条件有关。 CFString类型是用来描述偏好的关键一个字符串值。椭圆形的字符串数据类型应该用于表示CFString值。 CFNumber类型用于描述一个键有整数或浮点值的偏好。应该使用椭圆形整数和浮点数据类型,适当的,代表CFNumber值。 CFBoolean类型是用来描述偏好的关键,一个布尔值。总统布尔数据类型应该用于表示CFBoolean值。 CFDate类型用于描述一个偏好关键日期值。椭圆形的字符串数据类型应该用于表示CFDate值。 CFData类型用于描述一个键,base64编码的二进制值的偏好。椭圆形的字符串数据类型应该用于表示CFData值。 CFArray类型是用来描述偏好键值的集合。这是表示为多个值的实体。 CFDictionary类型是用来描述偏好键键-值对的集合。请注意,不支持CFDictionary值的集合。如果试图收集CFDictionary值,应报告一个错误。 空字符串值允许在这里允许详细的错误报告。