他のプロセスによってアタッチされているプロセスの保護
注: このリリースでは、この機能はエンドポイント管理 UI でサポートされていません。
capamsc141
注:
このリリースでは、この機能はエンドポイント管理 UI でサポートされていません。システムに関連するプロセスは、悪意のあるコードを使用し、管理者の知らないうちに改ざんされる可能性があります。この問題に対処するため、製品のこのリリースでは、ATTACH という属性を使用して PROCESS クラスを拡張しました。
PROCESS クラスの ATTACH 属性は、ptrace システム呼び出しを使用し、他のプロセスによってプロセスにアタッチされないように保護します。この属性を使用することで、特定のプロセスに対し、どのプロセスがアクセスするのか権限を付与できます。
以下の例では、ATTACH 属性の使用について説明します。
以下の手順に従います。
- 以下の実行可能ファイルのパスで、top をプロセスの例とみなしてください。/usr/bin/top
- 以下のコードを使用し、プロセス top に対してレコードを作成します。PAMSC> nr process /usr/bin/top owner(nobody) defacc(n)PROCESS クラスを使用し、所有者は nobody およびデフォルト アクセスは none としてプロセス /usr/bin/top に対してレコードが作成されます。この時点では、他のプロセスはプロセス top の /usr/bin/top をアタッチできません。
- 以下の Selang ルールを使用し、root で実行されている他のプロセスに対してプロセス /usr/bin/top をアタッチできるように権限を付与できます。PAMSC>auth process /usr/bin/top uid(root) access(attach)