SEOS_syscall
在 [SEOS_syscall] 部分中,SEOS_syscall 内核模块使用以下标记。
cminder12901cn
在 [SEOS_syscall] 部分中,SEOS_syscall 内核模块使用以下标记。
- bypass_NFS确定是否跳过 SEOS 事件的 NFS 文件。有效值:0-不跳过 NFS 文件。1-跳过 NFS 文件。默认值:0
- bypass_realpath指定是否跳过实际文件路径解析而进行授权。如果启用此设置 (1),CA ControlMinder 将不解析文件路径而进行授权。 这加快文件事件的处理。 然而,不针对使用链接实现的文件访问实施常规规则。示例:如果启用此设置并且用户从链接访问 /realpath/files/* 目录中的文件,则对于此目录将不考虑拒绝访问规则。 也创建链接的常规规则 (/alternatepath/*)。默认值:0(禁用)
- cache_enabled确定是否使用缓存进行完整路径解析,以确定文件的访问权限。有效值:0-不缓存。1-使用缓存。默认值:0
- cache_rate确定针对完整路径解析而启用缓存时使用的缓存比率。值越大,表示缓存越好。默认值:10000
- call_tripAccept_from_seload确定是否在 CA ControlMinder 启动后从 seload 命令调用 tripAccept,如果调用 tripAccept,则定义以逗号分隔的 TCP/IP 端口列表,tripAccept 将连接到这些端口并唤醒端口侦听程序。有效值:1 到 64000- 任何 TCP/IP 端口号0-不从 seload 调用 tripAccept。限制:0-64000默认值:0
- cdserver_conn_res确定是否将 T_CONN_RES 流消息视为 UnixWare 上 fiwput 例程中的高优先级消息。有效值:1-将 T_CONN_RES 流消息作为 fiwput 例程中的高优先级消息进行处理。0-将 T_CONN_RES 流消息作为 fiwput 例程中的低优先级消息进行处理。默认值:0(1 为 UnixWare)
- debug_protect确定在 CA ControlMinder 运行时是否允许调试任何程序。有效值:0-允许调试。1-不允许调试。默认值:1
- DESCENDENT_dependent确定 SEOS 后台进程的派生是否可以注册 SEOS 服务。有效值:0-任何程序都可以注册 SEOS 服务。1-只有派生可以注册 SEOS 服务。默认值:0
- dtrace_coexistence定义 CA ControlMinder 如何与 dtrace 共存。 当 dtrace 已安装并设置为监视系统调用,它会加载 systrace 内核模块。 此模块与 CA ControlMinder 交互时会出现未定义的结果,并可能会导致系统崩溃或系统调用拦截问题。默认值:0 (会阻止 dtrace 加载)有效值:0-CA ControlMinder 会防止 dtrace 加载 systrace 内核模块。1-Dtrace 加载 Systrace 内核模块。 在这种情况下,您必须确保您的系统按以下顺序加载模块和 CA ControlMinder:
- 加载并启动 CA ControlMinder (seload)
- 加载 systrace (modprobe systrace)
- dtrace 系统调用
- 卸载 systrace (rmmod systrace)
- 停止 CA ControlMinder (secons -sk)
- 卸载 CA ControlMinder (SEOS_load -u)以不同顺序加载 systrace 和 CA ControlMinder 会导致系统崩溃或系统调用拦截问题。
- exec_read_enabled指定 CA ControlMinder 内核是否识别脚本执行。有效值:0-CA ControlMinder 内核不识别脚本执行。1-CA ControlMinder 内核识别脚本执行。默认值:0注意:如果在端点上安装了 SAM 代理,默认值为 1。 启用此标记后,SAM 代理无需将 shell 脚本定义为 PROGRAM 资源,即可识别使用 SAM 代理文件 (acpwd) 的已命名 shell 脚本。
- file_bypass指示 CA ControlMinder 是否检查未在数据库中定义的文件的文件访问权限。 默认情况下 CA ControlMinder 不检查未在数据库中定义的文件。有效值:-1-不检查任何文件。0-检查所有文件。默认值:-1
- file_rdevice_max定义设备保护表中设备的最大数目。默认值:0 - CA ControlMinder 不保护系统设备。注意:我们建议您指定最小的 20 个系统设备。
- GAC_root确定当用户为 root 时是否对文件使用 GAC 缓存。 默认情况下,用户为 root 时不使用 GAC。有效值:0-不为 root 用户使用缓存。1-为 root 用户使用缓存。默认值:0
- HPUX11_SeOS_Syscall_number确定与 HP-UX 上的 SEOS_syscall 通信的默认 syscall 编号。有效值包括 sysent 中所有未使用的 syscall 条目编号。默认值:254
- kill_signal_mask定义要保护的信号。有效值包括 OR(包括)我们所希望 SEOS 事件的所有信号的掩码。默认值:SIGKILL、SIGSTOP 或 SIGTERM 事件。实际值根据平台不同而有所差异:
- (HP-UX) 0x804100
- (Sun Solaris) 0x404100
- (IBM AIX 和 Digital DEC UNIX)0x14100
- (Linux) 0x44100
- link_protect注意:不使用 link_protect 标记。确定是否将保护符号链接。有效值:0-不保护链接。1-保护链接。默认值:0
- LINUX_SeOS_Syscall_number确定与 LINUX 上的 SEOS_syscall 通信的默认 syscall 编号。
- max_generic_file_rules(仅适用于 AIX、HP、Linux 和 Solaris)定义在数据库中允许的通用文件规则最大数目。注意:大数目可能会导致不同平台上出现异常行为。 请通过 http://ca.com/support 联系 CA 支持以寻求帮助。有效值包括任何大于 511 的数。默认值:256
- max_regular_file_rules(仅适用于 AIX、HP、Linux 和 Solaris)定义数据库中允许的文件规则最大数目。注意:大数目可能会导致不同平台上出现异常行为。 请通过 http://ca.com/support 联系 CA 支持以寻求帮助。有效值包括任何大于 4095 的数。默认值:4096
- mount_protect确定是否允许挂接和取消挂接由 CA ControlMinder 使用的目录。有效值:0-允许挂接。1-不允许挂接。默认值:1
- proc_bypass确定在文件属于过程文件系统 (/proc) 时是否检查文件访问。有效值:0-忽略标记1-跳过文件访问检查默认值:1
- SEOS_network_intercept_type(在 HP-UX 11.11、11.23、11.31 和 Sun Solaris 8、9、10、11 上有效)指定要使用的网络拦截类型。重要信息!您还必须配置 SEOS_use_streams = yes。 不要自己修改 SEOS_network_intercept_type 标记。 请通过 http://ca.com/support 联系 CA 支持以获得帮助。有效值:0-TCP Hook1-流2-网络系统调用默认值:1,除非在默认值为 0 的 Solaris 10 Update 2 中。
- SEOS_request_timeout指定保留请求在授权队列中的时间。有效值:0- 禁用超时2 到 1000- 超时间隔(秒)。默认值:0注意:如果将超时设置为不到 2 秒或超过 1000 秒,CA ControlMinder 则会恢复默认值 (0),且不应用超时。
- SEOS_streams_attach(在 HP-UX 11.11、11.23、11.31 和 Sun Solaris 8、9、10、11 上有效)指定 CA ControlMinder 在启动期间是否附加 SEOS 流,以打开 TCP 流。如果更改此设置,请重新启动已侦听网络的后台进程,以使 CA ControlMinder 保护这些后台进程。要使用 SEOS_streams_attach,将 SEOS 流配置为网络拦截方法。有效值包括 yes 和 no。默认值:yes
- SEOS_unload_enabled确定是否可以卸载 SEOS_syscall 内核模块。有效值:0-不允许卸载。1-允许卸载。默认值:1
- SEOS_use_ioctl指定 CA ControlMinder 内核模块通信方式(ioctl 或系统调用)。操作系统正使用所有可用的系统调用编号时,您可以使用 ioctl 通信方式。重要信息!请勿自行修改此标记。 请通过 http://ca.com/support 联系 CA 支持以寻求帮助。有效值:0-系统调用1-ioctl默认值:0
- SEOS_use_streams(在 HP-UX 11.11、11.23、11.31 和 Sun Solaris 8、9、10、11 上有效)指定是否使用数据流子系统进行网络拦截。有效值包括 yes 和 no。默认值:no
- silent_admin定义维护用户的用户 ID。 在安全下降且 silent_deny 为“yes”时,允许此用户的活动。 要定义维护用户,请使用用户数字 UNIX UID。默认值:0(root 的用户 ID)
- silent_deny确定在关闭安全保护时是否拒绝所有事件。有效值:yes-启用静默拒绝(维护模式)。no-禁用静默拒绝。默认值:no
- STAT_intercept指定 stat 系统调用发生时是否检查文件访问权限。如果您指定 1(检查文件访问),CA ControlMinder 则不允许没有读取权限的用户执行获取有关文件和在审核日志中读取的记录的信息的操作。 如果将此值设置为 0,则任何用户均可获取文件信息。0-不检查文件访问。1-检查文件访问。默认值:0
- STOP_enabled确定是否使用 STOP 功能从而防止堆栈溢出攻击。有效值:0-关。1-开。默认值:0
- suid_cache_max在 setuid 缓存中指定条目的最大数目。 setuid 缓存用于管理非 PAM 就绪登录应用程序,如 sftp。0-禁用缓存。默认值:128注意:除非由 CA Technologies 人员指导,否则不要更改此值。 请通过 http://ca.com/support 联系 CA 支持以寻求帮助。
- synchronize_fork确定如何管理再生同步。在 HP-UX 平台上的有效值:1-父项报告再生2-子项报告再生在其他平台上的有效值:1-父项只进行报告而不进行同步2-父项既进行报告又进行同步(在 Linux 上不受支持)限制:任何小于 1 的值都被解析为 1。 任何大于 1 的值都被解析为 2。默认值:1注意:不要自行修改此设置,因为这可能会导致不同平台上出现异常行为。 请通过 http://ca.com/support 联系 CA 支持以寻求帮助。
- syscall_monitor_enabled指定 CA ControlMinder 是否监控正在执行 CA ControlMinder 代码的进程。 如果启用(默认),您可以使用 secons -sc 或 secons -scl 查看这些过程。有效值:0-不活动1-活动默认值:1
- threshold_time定义截获的系统调用在被认为存在风险之前可被阻止的时间(秒)。 如果某进程被阻挡的时间超过该时间,CA ControlMinder 会报告 SEOS_syscall 模块卸载可能失败。注意:此值会影响 CA ControlMinder 提供的卸载准备情况报告。 有关详细信息,请参阅“”。默认值:60
- trace_enabled确定是否使用 SEOS_syscall 循环跟踪缓冲区。有效值:0-不使用跟踪。1-使用跟踪。默认值:0
- use_tripAccept确定在卸载 SEOS_syscall 时是否使用 tripAccept 实用程序唤醒受阻的接受系统调用。 这将避免在卸载模块后运行 SEOS_syscall 代码。有效值包括 yes 和 no。默认值:yes