seretrust ユーティリティ -- プログラムおよびセキュア ファイルを再度 trusted 状態にするコマンドの生成
seretrust ユーティリティは selang コマンドを生成します。このコマンドは、データベースで定義されているプログラムおよびセキュア ファイルを再度 trusted 状態にするために必要です。seretrust ユーティリティは、信頼できると定義されているが変更された SECFILE および PROGRAM リソースのステータスをレポートします。seretrust は、プログラムが変更されてたが Watchdog によってまだキャッチされていないかどうかということも確認します。(つまり、 データベースでは、これらのプログラムが trusted とマークされたままであることを意味します)。これらのプログラムは、seretrust の出力に追加されます。この際、プログラムの内容またはタイムスタンプが変更されたこと、およびプログラムを再度 trusted 状態にすることも明記されます。
capamsc141
seretrust ユーティリティは selang コマンドを生成します。このコマンドは、データベースで定義されているプログラムおよびセキュア ファイルを再度 trusted 状態にするために必要です。seretrust ユーティリティは、信頼できると定義されているが変更された SECFILE および PROGRAM リソースのステータスをレポートします。seretrust は、プログラムが変更されてたが Watchdog によってまだキャッチされていないかどうかということも確認します。(つまり、
Privileged Access Manager
データベースでは、これらのプログラムが trusted とマークされたままであることを意味します)。これらのプログラムは、seretrust の出力に追加されます。この際、プログラムの内容またはタイムスタンプが変更されたこと、およびプログラムを再度 trusted 状態にすることも明記されます。 UNIX では、setuid プログラムおよび setgid プログラムは、inode 値などの詳細な説明と共にデータベースに格納されています。バックアップからシステムを復元すると、このプログラムは異なる i-node に格納されます。
Privileged Access Manager
では、i-node 間の不一致が検出されると、すべての trusted プログラムに untrusted のマークが付けられます。seretrust ユーティリティは、データベースに定義されている trusted プログラムを検索し、それぞれの i-node 値を更新します。このため、Privileged Access Manager
の起動時に、trusted プログラムが trusted の状態のまま維持されます。スイッチを指定しない場合は、untrusted プログラムおよび保護された untrusted ファイルのみが処理されます。
このコマンドの形式は以下のようになります。
seretrust [-a] [-l|-m|-p|-s] path
- -aすべての trusted オブジェクトおよび untrusted オブジェクトを処理します
- -hこのユーティリティのヘルプ画面を表示します。
- -l現在のディレクトリのデータベースからプログラムおよびファイルに関する情報を抽出します。このオプションを省略すると、Privileged Access Managerが使用するデータベースが処理されます。
- -mすべてのカーネル モジュールのシグネチャを計算します。カーネル モジュール レコードのシグネチャ プロパティが無効な場合は、正しいシグネチャに更新されるため、カーネル モジュールは trusted 状態になります。シグネチャは、Linux カーネル モジュールにのみ使用されます。
- -pPROGRAM クラスのレコードのみを処理します。
- -sSECFILE クラスのレコードのみを処理します。
- パス再度 trusted 状態にするプログラムおよびセキュア ファイルを検索するための基本パスを指定します。このユーティリティは、指定したディレクトリおよびすべてのサブディレクトリを処理します。
例: untrusted プログラムおよびセキュア ファイルを再度 trusted に戻す
この例は、seretrust ユーティリティを使用して、プログラムおよびセキュア ファイルを再度 trusted 状態にする方法を示しています。
この例は、UNIX でのサンプルのコマンド出力を示していますが、このユーティリティは Windows でも同様に機能します。
プログラムおよびセキュア ファイルを再度 trusted 状態にするには、以下の手順に従います。
- Privileged Access Managerデータベース管理者として、以下の seretrust コマンドを入力します。seretrust > retrust_scriptオプションが指定されていないため、trusted プログラムと保護対象ファイルの両方が処理されます。また、基本パスも未指定であるため、ルート パスが使用されます。以下の情報が画面に表示されます。Retrusting PROGRAMs & SPECFILEs, Base path = / Total of 0 entries retrusted. (Class=SECFILE) Total of 16 entities retrusted. (class=PROGRAM)以下のコードは、スクリプト ファイル seretrust が作成する可能性のある内容を示しています。chres PROGRAM ("/usr/bin/chgrpmem") trust chres PROGRAM ("/usr/bin/chie") trust chres PROGRAM ("/usr/bin/crontab") trust chres PROGRAM ("/usr/bin/cu") trust chres PROGRAM ("/usr/bin/ecs") trust chres PROGRAM ("/usr/bin/newgrp") trust chres PROGRAM ("/usr/bin/rmquedev") trust chres PROGRAM ("/usr/bin/rsh") trust chres PROGRAM ("/usr/bin/sysck") trust chres PROGRAM ("/usr/bin/uuname") trust chres PROGRAM ("/usr/lib/methods/showled") trust chres PROGRAM ("/usr/lib/mh/post") trust chres PROGRAM ("/usr/lib/mh/slocal") trust chres PROGRAM ("/usr/lpp/X11/bin/xlock") trust chres PROGRAM ("/usr/lpp/X11/bin/xterm") trust chres PROGRAM ("/usr/sbin/chvirprt") trust
- プログラムおよびファイルを trusted 状態にするために作成された selang スクリプト ファイル seretrust を実行します。selang -f retrust_script