SEOS_syscall
[SEOS_syscall]セクションで、SEOS_syscall カーネル モジュールがこのトークンを使用します。
cminder140jp
[SEOS_syscall]セクションで、SEOS_syscall カーネル モジュールがこのトークンを使用します。
- bypass_NFSSEOS イベントの NFS ファイルを省略するかどうかを指定します。有効な値は以下のとおりです。0- NFS ファイルを省略しません。1- NFS ファイルを省略します。デフォルト: 0
- bypass_realpath権限付与に関して、実際のファイルのパスの解決を省略するかどうかを指定します。この設定を有効(1)にすると、Privileged Access Manager Server Controlは権限付与に関してファイルのパスを解決しません。これによってファイル イベントの処理速度が向上します。ただし、一般的なルールは、リンクを使用して行われるファイル アクセスに対しては適用されません。例:/realpath/files/* に対するアクセス拒否ルールは、この設定が有効であっても、ユーザがリンクを使用してこのディレクトリのファイルにアクセスする場合には考慮されません。リンクのための汎用ルール(/alternatepath/*)も作成します。デフォルト:0 (無効)
- cache_enabledファイルのアクセス許可を指定するために、完全パスの解決にキャッシュを使用するかどうかを指定します。有効な値は以下のとおりです。0- キャッシュを使用しません。1- キャッシュを使用します。デフォルト:0
- cache_rate完全パスを解決するためにキャッシュを有効にした場合に使用する、キャッシュの割合を指定します。値を大きくすると、キャッシュがより効果的になります。デフォルト:10000
- cache_realpath解決済みの完全パスをキャッシュするかどうかを指定します。値:0 (キャッシュしない)、1 (キャッシュを使用)デフォルト:0
- call_tripAccept_from_seloadPrivileged Access Manager Server Controlの開始後、seload コマンドから tripAccept を呼び出すかどうかを判断します。tripAccept が呼び出される場合は、tripAccept が接続するべきカンマ区切りの TCP/IP ポートのリストを定義して、ポートのリスナを起動します。有効な値は以下のとおりです。1 ~ 64000- 任意の TCP/IP ポート番号0- seload から tripAccept を呼び出しません。制限:0 ~ 64000デフォルト:0
- cdserver_conn_resUnixWare 上の fiwput ルーチンで T_CONN_RES ストリームのメッセージを高優先順位のメッセージとして処理するかどうかを指定します。有効な値は以下のとおりです。1- fiwput ルーチンで T_CONN_RES ストリームのメッセージを高優先順位のメッセージとして処理します。0- fiwput ルーチンで T_CONN_RES ストリームのメッセージを低優先順位のメッセージとして処理します。デフォルト:0 (UnixWare では 1)
- debug_protectPrivileged Access Manager Server Controlの実行中にプログラムのデバッグを許可するかどうかを指定します。有効な値は以下のとおりです。0- デバッグを許可します。1- デバッグを許可しません。デフォルト:1
- DESCENDENT_dependentSEOS デーモンの下位プロセスで SEOS サービスを登録できるかどうかを指定します。有効な値は以下のとおりです。0- 誰でも SEOS サービスを登録できます。1- 下位プロセスでのみ SEOS サービスを登録できます。デフォルト: 0
- dtrace_coexistencePrivileged Access Manager Server Controlと dtrace がどのように共存するかを定義します。dtrace をインストールし、syscall を監視するよう設定した場合は、systrace カーネル モジュールが読み込まれます。このモジュールが未定義の結果についてPrivileged Access Manager Server Controlとやり取りしたときには、システム パニックまたはシステム コールのインターセプトなどの問題を引き起こすことがあります。デフォルト:0 (dtrace はロードされません)有効な値は以下のとおりです。0-Privileged Access Manager Server Controlは、dtrace による systrace カーネル モジュールのロードを阻止します。1- Dtrace が Systrace カーネル モジュールをロードします。この場合、システムでモジュールとPrivileged Access Manager Server Controlが以下の順序でロードされるようにする必要があります。
- Privileged Access Manager Server Controlのロードと起動(seload)
- systrace のロード(modprobe systrace)
- dtrace のシステム コール
- systrace のアンロード(rmmod systrace)
- CA Access Control の停止(secons -sk)
- CA Access Control のアンロード(SEOS_load-u)重要:Systrace およびPrivileged Access Manager Server Controlを異なる順序でロードすると、システム パニックまたはシステム コールのインターセプトなどの問題を引き起こすことがあります。
- exec_read_enabledPrivileged Access Manager Server Controlカーネルがスクリプトの実行を識別するかどうか指定します。有効な値は以下のとおりです。0-Privileged Access Manager Server Controlカーネルはスクリプトの実行を識別しません。1-Privileged Access Manager Server Controlカーネルはスクリプトの実行を識別します。デフォルト: 0
- file_bypassデータベースで定義されていないファイルに対するファイル アクセスをPrivileged Access Manager Server Controlでチェックするかどうかを示します。デフォルトでは、Privileged Access Manager Server Controlはデータベースで定義されていないファイルをチェックしません。有効な値は以下のとおりです。-1- すべてのファイルをチェックするわけではありません。0- すべてのファイルをチェックします。デフォルト:-1
- file_rdevice_maxデバイス保護テーブル内のデバイスの最大数を定義します。デフォルト:0 -Privileged Access Manager Server Controlはシステム デバイスを保護しません。注:最低 20 台のシステム デバイスを指定することを推奨します。
- GAC_rootユーザが root である場合にファイルに対して GAC キャッシュを使用するかどうかを指定します。デフォルトでは、ユーザが root の場合に GAC は使用されません。有効な値は以下のとおりです。0- root ユーザの場合はキャッシュを使用しません。1- root ユーザの場合はキャッシュを使用します。デフォルト:0
- HPUX11_SeOS_Syscall_numberHP-UX 上の SEOS_syscall と通信するためのデフォルトの syscall 番号を指定します。有効な値としては、sysent で使用されていない syscall エントリ番号があります。デフォルト:254
- kill_signal_mask保護対象のシグナルを定義します。有効な値は、SEOS イベントを必要とするすべてのシグナルの論理和を取るマスク(すべてのシグナルを含むマスク)です。デフォルト: SIGKILL、SIGSTOP、SIGTERM のいずれかのイベント以下に示すように、実際の値はプラットフォームによって異なります。
- HP-UX: 0x804100
- Sun Solaris: 0x404100
- IBM AIX および Digital DEC UNIX: 0x14100
- Linux: 0x44100
- LINUX_SeOS_Syscall_numberLINUX 上の SEOS_syscall と通信するために、デフォルトの syscal 番号を定義します。
- max_generic_file_rules(AIX、HP、Linux、および Solaris でのみ有効)データベースで許可される包括的なファイル ルールの最大数を定義します。注:大きな数値を指定した場合、さまざまなプラットフォーム上で異常動作の原因となる可能性があります。詳細については、弊社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は、512 以上の数値です。デフォルト:256
- max_regular_file_rules(AIX、HP、Linux、および Solaris でのみ有効)データベースで許可されるファイル ルールの最大数を定義します。注:大きな数値を指定した場合、さまざまなプラットフォーム上で異常動作の原因となる可能性があります。詳細については、弊社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は、4096 以上の数値です。デフォルト:4096
- mount_protectPrivileged Access Manager Server Controlが使用するディレクトリのマウントとマウント解除を許可するかどうかを指定します。有効な値は以下のとおりです。0- マウントを許可します。1- マウントを許可しません。デフォルト:1
- proc_bypassファイルがプロセス ファイル システム(/proc)に属しているときにファイル アクセスをチェックするかどうかを指定します。有効な値は以下のとおりです。0- トークンは無視されます。1- ファイル アクセス チェックを省略します。デフォルト:1
- SEOS_network_intercept_type(HP-UX 11.11、11.23、11.31、および Sun Solaris 8、9、10、11 で有効)使用するネットワーク インターセプトのタイプを指定します。重要: SEOS_use_streams を yes に設定してください。SEOS_network_intercept_type トークンは自分で変更しないでください。詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は以下のとおりです。0- TCP フック1- ストリーム2-ネットワークのシステム コールデフォルト:1、ただし、Solaris 10 Update 2 ではデフォルト値は 0 です。
- SEOS_request_timeout認証キューで要求を保持する時間を指定します。有効な値は以下のとおりです。0- タイムアウトは無効です。2 ~ 1000- タイムアウト間隔(秒単位)デフォルト: 0注:タイムアウトが 2 秒未満または 1000 秒を超える時間に設定されると、Privileged Access Manager Server Controlによってデフォルト値(0)が割り当てられます。タイムアウトは適用されません。
- SEOS_streams_attach(HP-UX 11.11、11.23、11.31、および Sun Solaris 8、9、10、11 で有効)Privileged Access Manager Server Controlが、起動時に、SEOS ストリームを開いている TCP ストリームに接続するかどうかを指定します。この設定を変更する場合は、Privileged Access Manager Server Controlで保護するために、ネットワークをすでに監視しているデーモンを再起動してください。注:SEOS_streams_attach を使用するには、SEOS ストリームをネットワーク インターセプトの方法として設定します。有効な値は、yes および no です。デフォルト:yes
- SEOS_unload_enabledSEOS_syscall カーネル モジュールをアンロードできるかどうかを指定します。有効な値は以下のとおりです。0- アンロードできません。1- アンロードできます。デフォルト:1
- SEOS_use_ioctlPrivileged Access Manager Server Controlのカーネル モジュールの通信方法 (ioctl またはシステム コール) を指定します。使用可能なシステム コール番号がオペレーティング システムによってすべて使用中の場合は、通信方法として ioctl を使用できます。重要:このトークンは自分で変更しないでください。詳細については、弊社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は以下のとおりです。0- システム コール1- ioctlデフォルト: 0
- SEOS_use_streams(HP-UX 11.11、11.23、11.31、および Sun Solaris 8、9、10、11 で有効)ネットワーク インターセプトに streams サブシステムを使用するかどうかを指定します。有効な値は、yes および no です。デフォルト:no
- silent_adminメンテナンス ユーザのユーザ ID を定義します。セキュリティが停止していて、silent_deny が yes である場合、このユーザのアクティビティが許可されます。メンテナンス ユーザを定義するには、ユーザ数値 UNIX UID を使用します。デフォルト:0(root のユーザ ID)
- silent_denyセキュリティが停止しているときにイベントを拒否するかどうかを指定します。有効な値は以下のとおりです。yes- silent deny が有効です(メンテナンス モード)。no- silent deny が無効です。デフォルト:no
- STAT_interceptSTAT システム コールが発生したときにファイル アクセスをチェックするかどうかを指定します。有効な値は以下のとおりです。0- ファイル アクセスをチェックしません。1- ファイル アクセスをチェックします。1 (ファイル アクセスをチェックする)を指定した場合、Privileged Access Manager Server Controlでは、読み取り権限を持たないユーザが、ファイルに関する情報を取得する操作を行うことはできません。このようなユーザの試行は、監査ログに「read」として記録されます。この値を 0 に設定した場合、読み取り権限を持たないすべてのユーザがファイル情報を取得できます。デフォルト: 0
- STOP_enabledSTOP 機能を使用するかどうかを指定します。これは、スタック オーバーフロー攻撃から保護する機能です。有効な値は以下のとおりです。0- オフ。1- オン。デフォルト: 0
- suid_cache_maxsetuid キャッシュで、エントリの最大数を指定します。setuid キャッシュは、sftp などの非 PAM 対応ログイン アプリケーションの管理に使用されます。0- キャッシュは無効です。デフォルト:128注:CA Technologies スタッフからの指示がない限り、この値は変更しないでください。詳細については、弊社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。
- synchronize_forkfork 同期を管理する方法を指定します。HP-UX プラットフォームで有効な値:1- 親から fork をレポートします。2- 子から fork をレポートします。他のプラットフォームで有効な値:1- 親から同期せずにレポートします。2- 親から同期してレポートします(Linux ではサポートされていません)。制限:1 未満のどのような値も 1 として解釈されます。1 を超えるどんな値も 2 として解釈されます。デフォルト:1注:さまざまなプラットフォーム上で異常動作の原因となる可能性があるため、この設定は変更しないでください。詳細については、弊社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。
- syscall_monitor_enabledコードを実行しているプロセスをPrivileged Access Manager Server ControlPrivileged Access Manager Server Controlが監視するかどうかを指定します。監視を有効にしている場合(デフォルト)は、secons -sc または secons -scl を使用してこれらのプロセスを表示できます。有効な値は以下のとおりです。0- 非アクティブ1- アクティブデフォルト:1
- threshold_timeインターセプトされたシステム コールを危険であると判断されるまでにブロックできる時間(秒)を定義します。プロセスがこの時間よりも長い時間ブロックされた場合は、Privileged Access Manager Server Controlは SEOS_syscall モジュールのアンロードに失敗する可能性があることを報告します。注:この値は、Privileged Access Manager Server Controlが提供するアンロードの準備状況レポートに影響します。詳細については、「エンタープライズ管理ガイド」を参照してください。デフォルト:60
- trace_enabledSEOS_syscall の循環トレース バッファを使用するかどうかを指定します。有効な値は以下のとおりです。0- トレースを使用しません。1- トレースを使用します。デフォルト: 0
- use_tripAcceptSEOS_syscall をアンロードして、ブロックされている受け入れシステム コールのブロックを解除するときに、tripAccept ユーティリティを使用するかどうかを指定します。これにより、モジュールがアンロードされた後に、SEOS_syscall コードが実行されなくなります。有効な値は、yes および no です。デフォルト:yes