seosd
在 [seosd] 部分中,标记确定授权后台进程和缓存实用程序的行为,从而提高它们的性能。
cminder12901cn
在 [seosd] 部分中,标记确定授权后台进程和缓存实用程序的行为,从而提高它们的性能。
- allow_exec_login将exec loginshell 脚本命令识别为登录事件。值:0、1默认值:0
- bypass_filenames指定一个文件,其中包含要从 seos 事件中排除的文件名列表。例如,bypass_filenames = /opt/CA/AccessControl/bin/bypass_filenames默认值:不设置标记
- bypass_nfs_port指定是否为 CONNECT 跳过 nfs 使用的端口(端口 2049)。 存在跳过以便让 NFS 能够正确运行。如果将此标记的值更改为no,将不跳过此端口。 确保过后提供所需的 CA ControlMinder 规则以替换此跳过。 以下是此类规则的示例(您不能按原样使用):nr hostnet all mask (0.0.0.0) match(0.0.0.0) nr TCP 2049 owner(nobody) defaccess(none) authorize TCP 2049 hostnet(all) access(w) uid(root) nr TCP nfsd owner(nobody) defaccess(none) authorize TCP nfsd hostnet(all) access(w) uid(root)注意:如果您将此标记的值设为no,但没有提供正确的 CA ControlMinder 规则,NFS 将停止工作。默认值:yes
- bypass_outgoing_TCPIP定义 seos_syscall 不将传出连接事件传递到 seosd 的端口列表,以逗号分隔。默认值:不设置标记
- bypass_suid_for_login指定应对其忽略虚拟 SUID 系统调用的登录程序的路径。此标记将在某些登录程序(例如:samba)中使用,这些程序将生成大量的虚拟 SUID 系统调用。 这些系统调用可能会影响对登录用户的正确识别。默认值:none
- bypass_suid_program允许使用多个 su 命令。 在某些平台上,系统的 su 二进制以非标准方式工作:在请求了对非 root 用户的 su 命令时,会先对 root 用户执行 su,然后再对请求用户执行 su。如果为该 root 用户设置了 CA ControlMinder 代理保护,它可能还会阻碍对非 root 用户成功执行 su。要在此类平台对 root 用户使用代理保护并仍能够对非 root 用户执行 su 而不中断,请将 bypass_suid_program 标记设为包含系统 su 二进制文件的实际路径。默认值:none
- bypass_system_files确定 CA ControlMinder 授权引擎是否应跳过对 /etc/passwd 和 /etc/group 系统文件的读取访问。有效值为:yes-跳过对系统文件的读取访问。no-不跳过对系统文件的读取访问。默认值:yes
- bypass_TCPIP允许您添加 seos_syscall 无法通过其将事件传递给 seosd 的一个或多个端口(以逗号分隔)。语法为 bypass_TCPIP=port1[,port2,portx]默认值:不设置标记
- bypass_whois定义 CA ControlMinder 跳过的实用工具。值:ACInstallDir/AccessControl/bin 中的实用工具默认值:none
- bypass_xdm_ports指定是否为 CONNECT 跳过由 xdm 使用的端口(端口 6000-6010)。 存在跳过以便让 xdm 能够正确运行。如果您将此标记的值改为no,则这些端口将没有跳过。 确保过后提供所需的 CA ControlMinder 规则以替换此跳过。 以下是此类规则的示例(您不能按原样使用):nr hostnet all mask (0.0.0.0) match(0.0.0.0) nr TCP X-Win owner(nobody) defaccess(none) authorize TCP X_Win hostnet(all) access(r) authorize TCP X_Win hostnet(all) access(w) uid(root) authorize TCP X_Win hostnet(all) access(w) gid(mygroup) nr TCP 6000 owner(nobody) defaccess(none) authorize TCP 6000 hostnet(all) access(r) authorize TCP 6000 hostnet(all) access(w) uid(root) authorize TCP 6000 hostnet(all) access(w) gid(mygroup)注意:如果您将此标记的值设为no,但没有提供正确的 CA ControlMinder 规则,xdm 将停止工作。 如果此标记的值为yes,且通过端口 6000-6010 进行传出连接,则相应审核记录中的类名为 TERMINAL。默认值:yes
- cron_program改进了 seosd 中对 cron 登录的检查。将 cron_program 标记设为包含系统 cron 二进制文件的实际路径。默认值:none
- dbdir指定 CA ControlMinder 数据库的位置。默认值:ACInstallDir/seosdb
- debug_backup_dir指定备份调试文件的位置。默认值:CA ControlMinder 产品日志目录
- debug_backup_num定义要保存的备份调试文件的数量。值:正数默认值:2
- debug_file指定 seagent 调试消息文件的位置。默认值:ACInstallDir/log/seagent_debug
- debug_level定义要保存的调试消息的最低级别。 会保存所设的值级别及所有以上级别。值:Disabled(不保存任何消息)、Critical、Very High、High、Normal 和 Low默认值:Critical
- debug_size定义调试消息文件的最大大小(以 MB 为单位)。值:正数默认值:256
- debug_zone定义为其生成调试消息的 seosd 子模块(区域)。值:-1(所有区域)、1 (SKI)、2 (QP)、4 (RESOLV)、8 (SEOSD)、10 (AUXFALLBACK)、20 (AUTH)默认值:-1
- device_file指定是否扫描 /dev 中的所有设备。当此标记的值设置为 Yes 而标准列表中找不到 tty 时,CA ControlMinder 会扫描位于 /dev 中的所有设备。(qplib 在标准设备中解析 tty 名称)。注意:您可将设备添加到 tty 名称列表中。默认值:no
- dns_server指定 DNS 服务器名,它用来将从默认服务器解析的主机更改为其他服务器。当启用 DNS 缓存选项时,通常使用此标记。默认值:none
- domain_names指定域名列表,seosd 会将其附加到为进行授权而接收的短主机名以创建完全限定名,这样这些名称即可在相关的 HOST、CONNECT 或 TERMINAL 类中获得授权。为了识别全名,seosd 会尝试将 domain_names 列表中的域名附加到简短名称中以进行授权。首先,seosd 会仅使用简短名称在其数据库中查找相关规则。 如果它找不到匹配该短名称的记录,则会逐个附加 domain_names 标记中指定的每个域名,直到找到匹配项。例如:假设您为 domain_names 指定以下列表:domain_names= market.com, journey.com, total.com此处是当来自某订户的请求(称为acme)没有在数据库中定义为规则时,seosd 如何处理匹配过程,形式如下:acme(在数据库中找不到)acme.market.com(找不到)acme.journey.com(找不到)acme.total.com(找到)seosd 使用第一个匹配的记录(在本例中为 acme.total.com)进行授权。默认值:如在 /etc/resolv.conf 中定义
- EnablePolicyCache确定是否应该使用运行时表来存储授权所需的数据库值。 seosd 开始时,会将运行时表加载到内存。 这样就避免了连接到数据库,进而可以缩短授权时间。有效值包括 yes 和 no。默认值:no
- enf_register确定 seosd 是否注册到 Unicenter NSM Event Notification Facility (ENF)。有效值包括:yes-seosd 向 ENF 注册。no-seosd 不向 ENF 注册。默认值:no
- FileCache_auths如果启用缓存,则应指定授权池中的记录数。 可缓存的最大授权记录数为 800。默认值:80
- FileCache_CleanInt指定清除文件缓存的频率(分钟)。默认值:60
- FileCache_files如果启用缓存,则应指定文件池中的记录数。 可缓存的最大文件记录数为 200。默认值:20
- FileCache_InitPrio指定缓存表中新记录的初始优先级值。默认值:10
- FileCache_PriorInt如果启用缓存,请指定缓存表中重新计算优先级的频率。每次保存新纪录时都会算作一次。默认值:1
- FileCache_users如果启用缓存,则应指定用户池中的记录数。 可缓存的最大用户记录数为 500。默认值:50
- ftp_data_port指定 ftp 服务用来传输数据的端口号。注意:验证在 seos.ini 和 /etc/services 文件中 ftp_data_port 号码相同。默认值:20
- ftp_port指定 ftp 服务用于通信的端口号。注意:验证 seos.ini 和 /etc/services 文件中的 ftp_port 号码相同。默认值:21
- get_login_terminal确定 seosd 是否尝试通过另一种方式查找登录程序的对等地址。 这对于诸如 ssh 等连接非常有用。有效值包括 yes 和 no。默认值:yes
- grace_admin确定管理员更改用户密码时设置的宽限登录的次数。默认值:不设置标记 (1)
- GroupidResolution确定 CA ControlMinder 将 GID 号解析为组名的方式。有效值包括:system-CA ControlMinder 使用系统调用来转换 GID 号。 此值可用于单机、DNS 客户端以及 DNS 服务器站。 (另请参阅此表中的 resolve_timeout 标记。)cache-GID 号和组名都将缓存在 seosd 中。 这是进行转换的最快捷简便的方式,但是在运行时期间无法更新缓存。ladb- CA ControlMinder 使用后备数据库来转换 GID 号。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建后备数据库。对于 NIS 和 NIS+ 服务器,请使用 cache 或 ladb。对于 Sun Solaris 2.5 及更高版本和 HP-UX 11.x,您可以使用 cache 或 ladb。对于所有工作站,首选使用值 ladb。默认值:不设置标记(系统)
- HostResolution确定 CA ControlMinder 将 IP 地址解析为主机名的方式。有效值包括:system- CA ControlMinder 使用系统调用来转换 IP 地址。 此值可用于单机、NIS/NIS+ 客户端以及 DNS 客户端站。 (另请参阅此表中的 resolve_timeout 标记。)cache-主机名及其 IP 地址全部缓存在 seosd 中。 这是进行转换的最快捷简便的方式,但是在运行时期间无法更新缓存。ladb- CA ControlMinder 使用后备数据库来转换 IP 地址。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建后备数据库。对于 NIS、NIS+ 和 DNS 服务器,您可以使用 cache 或 ladb;首选值 ladb。默认值:不设置标记(系统)
- IsolatedDaemon确定 seosd 是否在文件描述符 stdin、stdout 和 stderr 成为后台进程时关闭它们。有效值包括:yes-seosd 会在文件描述符变成后台进程时关闭它们。no-seosd 不会在文件描述符变成后台进程时关闭它们。默认值:no
- kill_ignore指定 seosd 是否忽略(拒绝)定向到三个主要 CA ControlMinder 后台进程之一的 kill -9 命令。 有效值包括:yes-忽略 kill 命令。 这是默认值。no-kill 命令将终止 seosd。默认值:yes
- login_parent_check指定父进程应该继续(一旦子进程已登录)登录序列,还是放弃该序列并继承子进程的登录。有效值包括 0 和 1。如果该值为 0,父进程会继续登录序列。如果该值为 1,父进程将放弃登录序列并继承子进程的登录。默认值:不设置标记 (0)
- lookaside_allowdupuid确定 sebuildla 是否注册重复的 UID有效值:yes-注册重复的 UIDno-在出现重复的 UID 时,只注册一个 UID注意:重复的 UID 可能会在 UNIX 操作系统上造成不一致。默认值:no
- lookaside_path指定后备数据库文件所在的目录。 请在运行 sebuildla 实用程序之前创建此目录。注意:后备数据库文件是使用 sebuildla 实用程序构建和更新的。默认值:ACInstallDir/ladb
- max_loggedin_users定义最多登录用户人数。注意:该值决定着其中一个内部内存表的大小。 表越大,其占用的内存越多。限制:4096-20480默认值:8192
- MultiLoginPgm定义执行多次登录的程序的名称和完整路径。 它用于检测这些特殊的登录应用程序的正确登录序列。MultiLoginPgm 是带有完整路径的登录应用程序名称。默认值:none
- network_cache_timeout指定在使用网络缓存的情况下,网络每隔多长时间缓存一次表清除(分钟)。 使用此标记为存储的已接受传入 TCP 请求设置时间限制。注意:有关使用网络缓存的详细信息,请参阅《适用于 UNIX 的端点管理指南》。默认值:10
- nfs_devices指定包含 NFS 主设备号的文件名及其路径。 指定完整文件路径。在无法使用设备和 inode 编号获取程序、也无法使用程序名称获取程序的情况下,CA ControlMinder 会使用此文件。 该文件包含每个平台的 NFS 主设备号默认值。 在不同的系统中,此值可能会有所差异。 为找到您所用系统的编号,请使用包含 UNIX getmajor() 函数的小程序。 然后,编辑 nfsdevs.init 文件(或使用此标记命名的文件)以包含您要查找的编号。注意:每次挂接和取消挂接 NFS 系统时,您都应该更新 nfsdevs.init 文件。 您还可以仅使用设备的前四位数字。即使您取消挂接并重新挂接该系统,这些编号也将保留不变。默认值:ACInstallDir/etc/nfsdevs.init
- protect_bin指定 seosd 是否保护 CA ControlMinder 二进制文件。 指定下列值之一:yes-seosd 将保护 CA ControlMinder 二进制文件,除非定义了允许此类访问的规则。注意:当 FILE 记录的 _default 访问权限为 none 时,请不要指定 yes,因为那样的话,除非所有的 /opt/CA/AccessControl/bin 文件都包含 FILE 记录,否则文件的不可访问性可能会导致 CA ControlMinder 不可用。no-seosd 不保护 CA ControlMinder 二进制文件。默认值:no
- resolve_rebind指定 seosd 在出现超时故障后是否重新与 NIS 服务器建立连接。强烈建议您不要更改默认值。默认值:yes
- resolve_timeout指定 seosd 尝试将 IP 解析为地址、将用户 ID 解析为用户名、将组 ID 解析为组名,或将服务端口号解析为服务名的最大秒数。值会在以下两种情况下生效:seosd 使用的是系统解析。 (请参阅 HostResolution、ServiceResolution、UseridResolution 和 GroupidResolution 标记。)将 under_NIS_server 标记设置为 no 时。如果指定时间过后没有任何解析,seosd 会假定指定的 IP、ID 或端口没有解析。如果值设置为 0,则没有超时。默认值:5
- rt_priority确定 seosd 是否具有实时优先级。有效值包括 yes 和 no如果将此标记设为 yes,seosd 将具有实时优先级。默认值:yes
- ServiceResolution确定 CA ControlMinder 将 TCP 端口号转换为服务名的方式。有效值包括:system-CA ControlMinder 使用系统调用来转换 TCP 端口号。 此值可用于单机、NIS/NIS+ 客户端、DNS 客户端以及 DNS 服务器站。 (另请参阅此表中的 resolve_timeout 标记。)cache-服务名及其 TCP 端口号都将缓存在 seosd 中。 这是进行转换的最快捷简便的方式,但是在运行时期间无法更新缓存。ladb- CA ControlMinder 使用后备数据库来转换 TCP 端口号。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建后备数据库。对于 NIS 和 NIS+ 服务器,请使用 cache 或 ladb。默认值:system
- sim_login_timeout定义在 CA ControlMinder 从 Accessor Element Entry 表 (ACEE) 中删除未用过的模拟登录用户条目之前的超时时间(以分钟为单位)。当 CA ControlMinder 需要访问可在 ACEE 中找到的信息时,会执行模拟登录来创建 ACEE 条目。默认值:60
- special_check指定是否对内核模块加载启用文件路径检查。 如果启用, CA ControlMinder 将检查要加载的内核模块是否与 KMODULE 记录的文件路径属性相匹配(对于非 Linux 系统),或者是否与 KMODULE 记录的签名相匹配(对于 Linux 系统)。默认值:no
- terminal_default_ignore确定在授权管理访问权限时,是否考虑 _default TERMINAL 和特定 TERMINAL 记录的 defaccess 值。有效值包括 yes 和 no。yes-管理权限将忽略 _default 和任何特定 TERMINAL 记录的 defaccess 值。 在这种情况下,对于相关的特定 TERMINAL 记录,管理权限需要显式授权规则。no-管理权限将考虑所有相关的 TERMINAL 记录的 defaccess 值,而无论它是 _default 记录还是特定记录。默认值:yes
- terminal_search_order指定 seosd 是否尝试先按名称再按 IP 地址来检查所定义的 TERMINAL。有效值为:name-先按名称再按 IP 地址来检查 TERMINAL。ip-先按 IP 地址再按名称来检查 TERMINAL。注意:TERMINAL 类支持由通配符定义的通用规则(IP 地址或主机名模式匹配)。始终先检查特定(全名)规则,然后再检查常规规则。 例如:如果将此设置为ip,seosd 将按照以下顺序查找 TERMINAL 资源:完整 IP 地址匹配、完整主机名匹配、IP 地址模式匹配、主机名模式匹配。默认值:name
- trace_file_backup指定跟踪消息备份文件的位置。默认值:ACInstallDir/log/seosd.trace.bak
- trace_backup指定当跟踪消息文件达到配置的文件大小限制时是否进行备份。值:yes、no设置为 yes 时,trace_backup 标记将保存跟踪文件的备份,并创建一份跟踪文件。默认值:yes
- trace_file指定将跟踪消息发送到的文件名(如果请求跟踪消息)。默认值:ACInstallDir/log/seosd.trace
- trace_file_type确定跟踪文件是采用二进制格式还是文本格式写入的。有效值包括:binary-跟踪文件应该采用二进制格式写入。 此选项将减少此文件占据的空间。text-跟踪文件应以文本格式写入。后台进程 seosd 将检查此标记的值,并将其与跟踪文件的内容进行比较。 如果该标记的值与跟踪文件的格式不匹配,seosd 会将跟踪文件保存在其名称下并添加扩展名 .backup。默认值:text
- trace_file_size定义跟踪消息文件的最大大小。默认值:512 MB
- trace_filter指定包含用于筛选跟踪消息的筛选数据的文件的名称和路径。默认值:ACInstallDir/data/language/etc/trcfilter.init
- trace_space_saver指定要在文件系统中保留的可用空间量(MB)。 当可用空间量少于该数目时,CA ControlMinder 会禁用跟踪。注意:即使稍后时间有更大的可用空间,也不会自动启用跟踪。默认值:512
- trace_to指定跟踪消息的目标。有效值包括:file-CA ControlMinder 会将跟踪消息发送至 trace_file 标记指定的文件中。 要禁用跟踪,请使用secons -t-命令。 有关详细信息,请参阅此表中的 trace_file 标记。file,stop-CA ControlMinder 将在初始化后台进程期间生成跟踪消息。 初始化后台进程之后,将停止生成跟踪消息。none-CA ControlMinder 不发出跟踪消息。 这是安装和实施 CA ControlMinder 之后的正常设置。注意:如果此标记设置为file或file,stop,可以通过执行带 -t 选项的 secons 命令来切换到 CA ControlMinder 跟踪。默认值:file,stop
- update_dev_trusted_pgm指定当受信任的程序启动时 seosd 是否更新受信任的程序设备编号。值:yes、no默认值:yes
- UpdSurrogLogin指定 CA ControlMinder 是否在代理登录时更新用户的最后访问时间。有效值为:1- CA ControlMinder 在代理登录时更新用户的最后访问时间。0- CA ControlMinder 在代理登录时不更新用户的最后访问时间。
- Undef_ForPacl确定当 PACL 中的访问者名称包含星号 (*) 时,seosd 是否检查未定义的用户。有效值包括:1- seosd 不包括 PACL 中带星号的未定义用户。0-seosd 包括 PACL 中带星号的未定义用户。默认值:0
- under_NIS_server确定 seosd 是否使用内部名称解析来替代系统名称解析。有效值包括:yes-seosd 将在启动过程中把所有用户、组、主机和端口信息存储在内存或后备数据库中(请参阅 use_lookaside 标记)。对于 NIS、NIS+ 和 DNS 服务器计算机以及下列操作系统,此标记是必需的:Sun Solaris 2.5 及更高版本、HP-UX 11.x、IBM AIX 4.3.x 和 IRIX 6.5。重要信息!如果是 NIS 服务器或上述操作系统之一,关闭此标记可能会挂起计算机。no-seosd 将使用系统名称解析,并且 resolve_timeout 标记将生效。注意:安装期间自动为该标记指定值。此标记始终仅用于向后兼容。 如果您进行全新的 CA ControlMinder 安装,或者版本 2 或更高版本的安装,另请使用 HostResolution、ServiceResolution、UseridResolution 和 GroupidResolution 标记。默认值:安装期间指定
- use_lookaside定义 seosd 是否将用户、组、主机和端口信息存储在后备数据库或内存中。注意:此标记与 under_NIS_server 标记一起使用,除非将 under_NIS_server 标记设置为 yes,否则它没有任何实际意义。有效值包括:yes-seosd 将使用后备数据库存储用户、组、主机和服务详细信息。 后备数据库是通过 sebuildla 实用程序构建的,而且可以使用它随时进行刷新。后备数据库的位置是由 lookaside_path 标记设置的。no-seosd 会在启动期间缓存所有用户、组、主机和服务信息,以便可以在内存中完成所有转换。 建议您每天都重新启动 seosd 以刷新该缓存。此标记始终仅用于向后兼容。 如果您进行全新的 CA ControlMinder 安装,或者版本 2 或更高版本的安装,另请使用 HostResolution、ServiceResolution、UseridResolution 和 GroupidResolution 标记。默认值:no
- use_mapped_user_name(适用于安装了CA ControlMinder 和 UNAB 的环境)指定 seosd 是否在审核记录中使用用户企业名称。值:yes、no默认值:no
- use_nfs_devices确定是否使用 NFS 设备。 有效值包括 yes 或 no。默认值:Yes
- use_standard_functions确定 NIS 环境中的 sebuildla 检索用户的方式:通过调用标准系统函数 getpwent,或通过分析 ypcat passwd 和 cat/etc/passwd 命令的输出。有效值为:yes-使用标准系统函数 getpwentno-分析 ypcat passwd 和 cat/etc/passwd 命令的输出。默认值:yes
- use_trusted_script指定 seosd 是否将使用受信任的脚本机制。使用受信任的脚本机制时,从 shell 脚本内调用的程序会在内部 CA ControlMinder 表中保留 shell 脚本的名称。这意味着如果在 PACL 中使用了某个脚本,这些程序将继承该权限。 还意味着,您无法通过 CA ControlMinder 保护这些程序。受信任脚本的首行以 #! 开始。不使用受信任的脚本机制时,这些程序将在内部 CA ControlMinder 表中以各自的名称注册。默认值:yes
- use_unab_db(适用于安装了CA ControlMinder 和 UNAB 的环境)指定 seosd 在当前方法无法执行的情况下是否使用 UNAB 数据库来解析用户和组名称。 此标记与以下标记一致:use_lookaside、UseridResolution、GroupidResolution。值:yes、no默认值:no
- UseFileCache指定是否对文件记录使用缓存工具来提高性能。默认值:yes
- UseNetworkCache确定 CA ControlMinder 是否缓存接受的传入 TCP 请求。注意:有关使用网络缓存的详细信息,请参阅《适用于 UNIX 的端点管理指南》。有效值包括 yes 和 no。默认值:no
- UseridResolution指定 CA ControlMinder 将 UID 号转换为用户名的方式。有效值包括:system- CA ControlMinder 使用系统调用来转换 UID 号。 此值可用于单机、NIS/NIS+ 客户端、DNS 客户端以及 DNS 服务器站。cache-用户名及其 UID 号都将缓存在 seosd 中。 这是进行转换的最快捷简便的方式,但是在运行时期间无法更新缓存。ladb- CA ControlMinder 使用后备数据库来转换 UID 号。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建后备数据库。对于 NIS 和 NIS+ 服务器、Sun Solaris 2.5 及更高版本或 HP-UX 11.x 操作系统,您必须使用 cache 或 ladb。默认值:system
- watchdog_refresh确定 seosd 是否将刷新 Watchdog 以在特权程序和安全文件中扫描每个文件句柄。有效值包括:yes-seosd 将刷新 Watchdog。no-seosd 将不刷新 Watchdog。默认值:no