下面是一个描述的元素,类型和属性组成特定于UNIX系统中特征项开放脆弱性和评估语言(椭圆形)。每个项目是标准的扩展项目元素中定义的核心系统特征模式。通过扩展,每一项继承的一组元素和属性之间共享的所有椭圆物品。详细描述每个项目,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。高水平的描述不同的测试及其之间的交互关系核心系统模式不是这里描述特征。 椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。 Unix系统特点 5.11:5.11 12/18/2014 09:00:00我 版权(c) 2002 - 2014,斜方公司。manbetx客户端首页保留所有权利。这个文件的内容受到椭圆形的条款许可位于http://oval.mitre.org/oval/about/termsofuse.html。看到特定语言的椭圆形许可证管理权限和限制使用这种模式。当分发拷贝的椭圆模式,本授权头必须包括。 dnscache_item商店信息检索对域名的DNS缓存,它的生存时间,及其对应的IP地址。 domain_name元素包含一个字符串,该字符串代表一个域名的DNS缓存收集本地系统。 ttl元素包含一个整数,代表着时间住在秒的DNS缓存条目。 ip_address元素包含一个字符串,该字符串代表一个IP地址与指定的域名。注意,可以IPv4和IPv6的IP地址。 文件项持有单个文件系统上发现的信息。每个文件条目包含路径和文件名信息以及它的类型,相关的用户和组id,相关日期,privialeges理所当然。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。 这是文件的类型:常规文件(常规),目录,命名管道(fifo),特殊符号链接、套接字或块。 这是文件的组所有者,组数。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目这个元素代表文件的所有者。 这是文件最后一次访问的时间,在几秒钟内从Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。 这是最后的时间改变文件的inode,在几秒钟内从Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。一个inode是Unix数据结构存储所有的特定文件的信息。 这是最后的时间改变文件的内容,在几秒钟内从Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。 这是文件的大小,以字节为单位。 这个程序运行的uid(特权)文件的所有者,而不是调用用户? 这个程序运行的gid(特权)文件的群组的所有者,而不是调用用户组吗? 用户可以删除对方的这个目录中的文件,当表示目录可写的用户? 文件的所有者(用户所有者)可以读取这个文件,或者如果一个目录,读目录内容吗? 文件的所有者(用户所有者)可以写入该文件,或者如果一个目录,目录写? 文件的所有者(用户所有者)可以执行它,或者如果一个目录,变成目录吗? 文件的组所有者可以阅读该文件,或者如果一个目录,读目录内容吗? 文件的组所有者可以写这个文件,或者如果一个目录,目录写? 文件的组所有者可以执行它,或者如果一个目录,变成目录吗? 所有其他用户可以阅读该文件,或者如果一个目录,读目录内容吗? 其他用户可以写入这个文件,或者如果一个目录,目录写? 其他用户可以执行这个文件,或者如果一个目录,变成目录吗? 文件或目录有ACL权限申请吗?如果系统支持ACL和文件或目录没有ACL,或它匹配标准的UNIX权限,实体的状态“存在”和“假”的价值。如果系统支持ACL和文件或目录ACL,实体的状态“存在”和“真实”的价值。最后,如果一个系统不支持acl,实体将有一个“不存在”的地位。 文件的扩展属性项拥有个人信息文件扩展属性上发现一个系统。每个文件扩展属性项包含路径、文件名和属性名称信息以及属性的值。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。 这是扩展属性的名称、标识符和关键。 这是扩展属性的值或内容。 gconf_item拥有个人信息GConf关键系统上发现的偏好。每个gconf_item包含一个偏好的关键、来源、类型,无论是可写,最后修改的用户,这是最后修改的时候,无论是默认值,以及偏好的关键的价值。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 首选项检查的关键。 源用于查找关键的偏好。 偏好的类型的关键。 偏好的关键可写的吗?如果这是真的,偏好关键是可写的。如果错误,偏好关键是没有可写的。 最后修改的用户偏好的关键。 偏好的关键是最后修改的时间秒自Unix新纪元。Unix纪元是UTC时间就是1月1日,1970年。 偏好键值是默认值。如果这是真的,偏好键值是默认值。如果错误,偏好键值不是默认值。 关键的价值偏好。 inetd项持有与不同的网络服务相关的信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 /etc/inet/protocols.认可协议中列出的文件 一个有效的名字服务中列出的服务文件。对于RPC服务,服务名称字段的值由RPC服务名称或项目号码,紧随其后的是一个“/”(削减)和版本号或一系列的版本号(例如,rstatd / 2 - 4)。 要调用一个服务器程序的路径名由inetd执行所请求的服务,或价值内部如果inetd本身提供了服务。 运行服务的理由。这些都是传递给服务器程序调用inetd,或用于配置服务由inetd提供。在服务器程序的情况下,参数应以argv[0]开始,这通常是程序的名称。int提供的服务,第一个参数应“内部”这个词。 端点类型(又名、套接字类型)与服务相关联。 用户服务器程序的用户id下运行。(这允许使用权限低于根)。 这个字段有值或nowait等。这个条目指定是否由inetd调用的服务器将接管与服务相关的监听套接字,以及是否一旦启动,inetd将等待服务器退出,如果有的话,之前简历监听新的服务请求。 接口项目拥有信息系统的接口。每个接口条目包含姓名和地址信息以及任何相关的旗帜。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 实体名称是实际的特定接口的名称。例子可能eth0、eth1 fwo等等。 该元素指定接口的类型。 hardware_addr实体是硬件或物理网卡的MAC地址。MAC地址应该显示格式化的IEEE 802 - 2001标准即一个MAC地址是六个八位字节的序列值,由连字符分隔,每个八隅体由两个十六进制数字。还应使用大写字母来表示十六进制数字A到F。 inet_addr实体的特定接口的IP地址。注意,可以IPv4和IPv6的IP地址。如果IPv6地址的IP地址,这个实体应该表示为IPv6地址前缀使用CIDR标记和子网掩码实体不应该收集。 broadcast_addr实体是这个接口的广播IP地址的网络。注意,可以IPv4和IPv6的IP地址。 这是一位掩码用来计算接口的IP网络。网络数字计算bitwise-ANDing这个IP地址。计算网络的主机号码bitwise-XORing这个IP地址。注意,如果inet_addr实体包含一个IPv6地址前缀,这个实体不应该收集。 这是接口标志线,通常包括旗帜像“了”表示一个活跃的界面,“PROMISC”注意接口侦听以太网帧没有特别处理,等等。 /etc/passwd.看到passwd (4)。 这是用户的名称数据是如何收集的。 这是用户的密码的加密版本。 数字用户id或uid,第三列是/etc/passwd.的每个用户的条目 主要的id UNIX用户所属组。 从/ etc / passwd GECOS(或GCOS)字段;通常包含用户的全名。 用户的主目录。 用户的shell程序。 最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,1970年1月1日UTC。 的输出/usr/bin/ps.看到ps (1)。 5.8 process_item已经被废弃,被process58_item所取代。实体“命令”改为“command_line”process58_item收集准确的描述信息。请参见process58_item附加信息。 弃用单品:ID: 这将指定命令/项目名称的数据被收集。 这是累积的CPU时间,格式化(DD -) HH: MM: SS DD时的天数执行时间是24小时或更多。 这是进程的进程ID。 这是进程的父进程的进程ID。 这是过程运行的调度优先级。这可以调整好()系统调用命令或好。 这是真正的用户id代表用户创建的过程。 一个特定于平台的特性由调度程序维护:RT(实时)、TS(分时),FF (fifo)系统(系统)等。 这是一天中不同的时间流程开始格式化HH: MM: SS如果当天流程启动或格式化MMM_DD(例:Feb_5)如果过程开始前一天或进一步在过去。 这是遥控过程的开始,如果适用的话。 这是一个有效的用户id代表的实际特权的过程。 的输出/usr/bin/ps.看到ps (1)。 这是字符串用于启动过程。这包括任何参数的命令行。 这是累积的CPU时间,格式化(DD -) HH: MM: SS DD时的天数执行时间是24小时或更多。 这是进程的进程ID。 这是进程的父进程的进程ID。 这是过程运行的调度优先级。这可以调整好()系统调用命令或好。 这是真正的用户id代表用户创建的过程。 一个特定于平台的特性由调度程序维护:RT(实时)、TS(分时),FF (fifo)系统(系统)等。 这是一天中不同的时间流程开始格式化HH: MM: SS如果当天流程启动或格式化MMM_DD(例:Feb_5)如果过程开始前一天或进一步在过去。 这是遥控过程的开始,如果适用的话。 这是一个有效的用户id代表的实际特权的过程。 一个布尔值,当真正将表明ExecShield启用的过程。 loginuid显示占用户获得对系统的访问。/proc/XXXX/loginuid显示这个值。 一个有效的功能与流程。看到linux / include / linux /能力。h的更多信息。 一个selinux域标签相关的过程。 过程的会话ID。 routingtable_item拥有个人信息路由表条目中找到一个系统的主要路由表。每个routingtable_item包含目的地IP地址、网关、子网掩码、旗帜,和与之相关的接口的名称。重要的是要注意,只有数值地址将收集和他们的符号表示将不会得到解决。这相当于用“n”选项(8)或netstat (8)。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 目的IP地址前缀的路由表条目。这是目的地IP地址和子网掩码/ prefix-length使用CIDR标记表示。 指定的网关路由表条目。 与指定的路由表条目相关联的标记。 接口的名称与路由表条目。 运行级别项目持有的信息开始或杀死在给定的运行级别指定的服务的状态。每个运行级别条目包含服务名称和级别信息以及开始和杀死信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 service_name实体是实际的特定服务的名称。 运行级别的实体指定与服务相关的系统运行级别。 一开始实体指定服务是否将开始运行级别。 杀死实体指定服务是否运行级别将被杀死。 5.10 sccs_item已经弃用,因为源代码控制系统(癌)已经过时了。sccs_item可能删除在未来版本的语言。 弃用单品:ID: 指定一个癌文件的绝对路径。目录不能被指定为一个filepath。 元素指定目录的路径组件的一个癌文件的绝对路径。 一个癌文件的名称。 /etc/shadow.(4)看到影子。 这是用户的名称数据是如何收集的。 这是用户的密码的加密版本。 这是最后一个密码更改的日期自1/1/1970天。 这个指定的频率在天用户可能会改变他们的密码。它也可以被认为是密码的最低年龄。 这描述了一个密码用户可以借多久之前系统迫使她改变它。 这描述了系统密码过期前多久开始警告用户。在每个登录系统会警告用户。 这描述了系统将计算多少天不活动等密码到期后再锁定帐户吗?这个窗口,通常只有几天,给用户登录很就更难一点额外的时间来接收密码过期预警和改变他们的密码。 这将指定账户的密码什么时候到期,自1/1/1970几天。 这是一个保留字段,影子文件可能在未来使用。 encrypt_method实体描述方法,用于哈希密码。 symlink_item元素标识symlink_object生成的结果。 指定filepath主题符号链接文件,指定的symlink_object。 指定了正则路径的目标filepath指定的符号链接文件。 sysctl_item商店信息从本地系统检索内核参数及其各自的价值。 元素包含一个字符串名称代表的名称来自本地系统内核参数。 元素包含一个字符串的值代表当前值(s)为指定的本地系统内核参数。 机器的硬件上运行的信息。这个信息是相当于uname -解析。 这个实体指定机器硬件的名字。这对应于命令uname - m。 这个实体指定主机名。这对应于命令uname - n。 这个实体指定操作系统的名称。这对应于命令uname - s。 这个实体指定构建版本。这对应于命令uname - r。 这个实体指定操作系统版本。这对应于命令uname - v。 这个实体指定处理器类型。这对应于命令uname - p。 xinetd项持有与不同的网络服务相关的信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 协议实体指定使用的协议服务。有效协议的列表可以在/etc/protocols.找到 service_name实体指定服务的名称。 旗帜实体指定杂项设置相关的服务。 no_access实体指定的远程主机服务不可用。请参见xinetd.conf(5)手册页获得不同格式的信息,可以用来描述一个主机。 only_from实体指定的远程主机服务是可用的。请参见xinetd.conf(5)手册页获得不同格式的信息,可以用来描述一个主机。 使用的端口实体指定端口服务。 服务器实体指定可执行文件,用于启动该服务。 server_arguments实体指定的参数传递到可执行时启动该服务。 socket_type实体指定使用的套接字类型的服务。可能的值包括:流、dgram生,或seqpacket。 实体类型指定类型的服务。 用户实体指定进程的用户标识符运行服务。用户标识符可以表示为一个数值或存在于/etc/passwd.作为用户名 等实体指定服务是否单线程和多线程xinetd是否接受连接或服务接受连接。“真实”的价值表示服务是单线程和服务将接受连接。“假”值表明,服务是多线程和xinetd将接受连接。 残疾人实体指定是否服务是禁用的。“真正的”表明,服务的价值是禁用的,不会开始。“假”值表明,服务不是残疾人。 EntityItemCapabilityType复杂类型限制一个字符串值一组特定的值来描述POSIX功能类型相关的流程服务。这个列表中定义的值是基于linux / include / linux / capability.h。文档在capability.h可以找到每个允许的值。空字符串也可以支持空元素与错误条件有关。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityItemEndpointType复杂类型限制字符串值到一个特定的值来描述端点类型与互联网有关的服务。空字符串也可以支持空元素与错误条件有关。 流值是用来描述一个流套接字。 dgram值是用来描述一个数据报套接字。 原始值用于描述原始套接字。 seqpacket值用于描述一个测序包套接字。 tli值用于描述所有tli端点。 空字符串值允许在这里允许详细的错误报告。 EntityItemGconfTypeType复杂类型限制GCONF_VALUE_STRING七个值的字符串值,GCONF_VALUE_INT, GCONF_VALUE_FLOAT, GCONF_VALUE_BOOL, GCONF_VALUE_SCHEMA, GCONF_VALUE_LIST, GCONF_VALUE_PAIR指定的类型与GConf偏好键相关联的值。空字符串也可以支持空元素与错误条件有关。 GCONF_VALUE_STRING类型是用来描述偏好的关键一个字符串值。 GCONF_VALUE_INT类型用于描述一个键有整数的值的偏好。 GCONF_VALUE_FLOAT类型用于描述一个键有浮动值的偏好。 GCONF_VALUE_BOOL类型是用来描述偏好的关键,一个布尔值。 GCONF_VALUE_SCHEMA类型用于描述一个模式的价值偏好的关键。实际的值将被作为GConf模式中指定的默认值。 GCONF_VALUE_LIST类型是用来描述偏好的关键值的列表。实际值将原始GConf数据类型GCONF_VALUE_STRING之一,GCONF_VALUE_INT, GCONF_VALUE_FLOAT GCONF_VALUE_BOOL, GCONF_VALUE_SCHEMA。注意,所有的值与GCONF_VALUE_LIST必须有相同的类型。 GCONF_VALUE_PAIR类型用于描述一个偏好值的关键,有一对。的实际价值将由原始GConf数据类型GCONF_VALUE_STRING GCONF_VALUE_INT, GCONF_VALUE_FLOAT GCONF_VALUE_BOOL, GCONF_VALUE_SCHEMA。注意,与GCONF_VALUE_PAIR相关联的值不需要有相同的类型。 空字符串值允许在这里允许详细的错误报告。 EntityItemRoutingTableFlagsType复杂类型限制一个字符串值描述一组特定的值与一个路由表条目相关联的标记。这个列表是基于各种平台的手册页中定义的值。对于Linux,请参阅路线(8)。为Solaris,请参阅netstat(1米)。对于hp - ux,请参阅netstat (1)。Mac OS,请参阅netstat (1)。FreeBSD,请看到netstat (1)。文档在每个允许的值可以在前面列出的手册页。空字符串也可以支持空元素与错误条件有关。 下表是一个通用的国旗枚举值之间的映射和实际标志值在不同的平台上找到。如果国旗值没有指定,为特定的通用标志枚举值,标志值没有定义的平台。 名字Linux Solaris HPUX Mac OS FreeBSD AIX U U U U网关G G G G G G主机H H H H H R H恢复动态D D D D D M M M M ADDRCONF修改缓存C e拒绝!R R R冗余M (> = 9) SETSRC S当地广播B B B B L L PROTOCOL_1 1 1 1 PROTOCOL_2 2 2 2 PROTOCOL_3 3 3 3 BLACK_HOLE B B克隆C C C PROTOCOL_CLONING C C INTERFACE_SCOPE我LINK_LAYER L L L多播M M静态年代年代WAS_CLONED W W W XRESOLVE X X可用u固定P ACTIVE_DEAD_GATEWAY_DETECTION (> = 5.1) 空字符串值允许在这里允许详细的错误报告。 EntityItemXinetdTypeStatusType复杂类型限制一个字符串值5个值,要么RPC,内部,未上市,TCPMUX或TCPMUXPLUS指定类型的服务在xinetd注册。空字符串也可以支持空元素与错误条件有关。 内部类型是用于描述服务,如回声,chargen等的功能是由xinetd本身。 RPC类型是用于描述使用ala NFS远程过程调用的服务。 未上市的类型是用于描述服务,并不在/etc/protocols或/etc/rpc.上市 TCPMUX类型是用于描述服务符合RFC 1078。这种类型indiciates服务负责处理协议握手。 TCPMUXPLUS类型是用于描述服务符合RFC 1078。这种类型表明xinetd负责处理协议的握手。 空字符串值允许在这里允许详细的错误报告。 EntityItemWaitStatusType复杂类型限制两个值的字符串值,等待或者nowait,指定是否由inetd调用的服务器将接管与服务相关的监听套接字,以及是否一旦启动,inetd将等待服务器退出,如果有的话,之前简历监听新的服务请求。空字符串也可以支持空元素与错误条件有关。 “等待”的值指定由inetd调用的服务器将接管与服务相关的监听套接字,一旦启动,inetd将等待服务器退出,如果有的话,之前简历监听新的服务请求。 “nowait”指定的价值由inetd调用的服务器不会等待任何现有的服务器完成之前接管与服务相关联的监听套接字。 空字符串值允许在这里允许详细的错误报告。 EntityItemEncryptMethodType复杂类型限制一个字符串值对应于一组允许加密方法用于在影子文件密码保护。空字符串也可以支持空元素与错误条件有关。 DES方法对应于()没有一个前缀。 BSDi方法对应于BSDi修改DES或“_”前缀。 MD5方法对应于Linux / BSD MD5或$ 1 $前缀。 河豚方法对应于河豚(OpenBSD)或2美元或美元$ 2 $前缀。 太阳MD5算法MD5美元对应的前缀。 sha - 256方法对应于5美元前缀。 sha - 512方法对应于6美元前缀。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityItemInterfaceType复杂类型限制一个字符串值一组特定的值。这些值描述的不同接口类型中定义“if_arp.h”。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 ARPHRD_ETHER类型是用来描述以太网接口。 ARPHRD_FDDI类型是用来描述光纤分布式数据接口(FDDI)。 ARPHRD_LOOPBACK类型是用来描述环回接口。 ARPHRD_VOID类型是用来描述未知的接口。 ARPHRD_PPP类型是用来描述的点对点协议(PPP)的接口。 ARPHRD_SLIP类型是用来描述串行线互联网协议接口(滑)。 ARPHRD_PRONET类型是用来描述PROnet令牌环接口。 空字符串值允许在这里允许详细的错误报告。