機密ファイルの監視

Watchdog 機能は、指定したファイル以外に setuid/setgid プログラムのバイナリを保護します。seoswd ユーティリティ(Watchdog デーモン)は、以下の 2 点を継続的にチェックしています。
capamsc141
Watchdog 機能は、指定したファイル以外に setuid/setgid プログラムのバイナリを保護します。seoswd ユーティリティ(Watchdog デーモン)は、以下の 2 点を継続的にチェックしています。
  • seosd デーモンが稼動中であり、応答しているかどうか必要に応じて、Watchdog デーモンによって seosd デーモンが再起動されます。
  • trusted プログラムまたはファイルがユーザによって変更されたかどうか。変更されている場合は、seoswd によりファイルの実行が阻止されます。
seosd デーモンが fork で複製されるたびに、seoswd プログラムが自動的に実行され、Watchdog 機能が開始されます。
seos.ini ファイルには、watchdog 機能のスキャンとタイムアウトの値を制御する複数のトークンが含まれています。また、このファイルには、これらの値に関する最新のドキュメントも含まれています。
Watchdog 機能を使用すると、setuid プログラムおよび setgid プログラムに対して行う内容と同じバックグラウンド チェックを通常のファイルに対して実行できます。これらのチェックには、ファイルが変更された際の監査レコードの生成も含まれます。
たとえば、セキュリティ管理者のみが /etc/inittab ファイルの変更を許可される環境設定を考えてみましょう。
PAM Server Control
でファイルを監視し、変更があった場合に警告が生成されるようにするには、以下の selang コマンドを使用します。
newres SECFILE /etc/inittab
これで、/etc/inittab ファイルへの変更が継続的に監視されます。