SEOS_syscall
[SEOS_syscall]セクションで、SEOS_syscall カーネル モジュールがこのトークンを使用します。
cminder12901jp
[SEOS_syscall]セクションで、SEOS_syscall カーネル モジュールがこのトークンを使用します。
- bypass_NFSSEOS イベントの NFS ファイルを省略するかどうかを指定します。有効な値は以下のとおりです。0- NFS ファイルを省略しません。1- NFS ファイルを省略します。デフォルト: 0
- bypass_realpath権限付与に関して、実際のファイルのパスの解決を省略するかどうかを指定します。この設定を有効(1)にすると、CA ControlMinder は権限付与に関してファイルのパスを解決しません。 これによってファイル イベントの処理速度が向上します。 ただし、一般的なルールは、リンクを使用して行われるファイル アクセスに対しては適用されません。例:/realpath/files/* に対するアクセス拒否ルールは、この設定が有効であっても、ユーザがリンクを使用してこのディレクトリのファイルにアクセスする場合には考慮されません。 リンクのための汎用ルール(/alternatepath/*)も作成します。デフォルト:0(無効)
- cache_enabledファイルのアクセス許可を指定するために、完全パスの解決にキャッシュを使用するかどうかを指定します。有効な値は以下のとおりです。0- キャッシュを使用しません。1- キャッシュを使用します。デフォルト:0
- cache_rate完全パスを解決するためにキャッシュを有効にした場合に使用する、キャッシュの割合を指定します。値を大きくすると、キャッシュがより効果的になります。デフォルト:10000
- call_tripAccept_from_seloadCA ControlMinder の開始後、 seload コマンドから tripAccept を呼び出すかどうかを判断します。tripAccept が呼び出される場合は、tripAccept が接続するべきカンマ区切りのTCP/IP ポートのリストを定義して、ポートのリスナを起動します。有効な値は以下のとおりです。1 ~ 64000- 任意の TCP/IP ポート番号0- seload からtripAcceptを呼び出しません。制限:0 ~ 64000デフォルト:0
- cdserver_conn_resUnixWare 上の fiwput ルーチンで T_CONN_RES ストリームのメッセージを高優先順位のメッセージとして処理するかどうかを指定します。有効な値は以下のとおりです。1- fiwput ルーチンで T_CONN_RES ストリームのメッセージを高優先順位のメッセージとして処理します。0- fiwput ルーチンで T_CONN_RES ストリームのメッセージを低優先順位のメッセージとして処理します。デフォルト:0 (UnixWare では 1)
- debug_protectCA ControlMinder の実行中にプログラムのデバッグを許可するかどうかを指定します。有効な値は以下のとおりです。0- デバッグを許可します。1- デバッグを許可しません。デフォルト:1
- DESCENDENT_dependentSEOS デーモンの下位プロセスで SEOS サービスを登録できるかどうかを指定します。有効な値は以下のとおりです。0- 誰でも SEOS サービスを登録できます。1- 下位プロセスでのみ SEOS サービスを登録できます。デフォルト: 0
- dtrace_coexistenceCA ControlMinder と dtrace がどのように共存するかを定義します。 dtrace をインストールし、syscall を監視するよう設定した場合は、systrace カーネル モジュールが読み込まれます。 このモジュールが未定義の結果について CA ControlMinder とやり取りしたときには、システム パニックまたはシステム コールのインターセプトなどの問題を引き起こすことがあります。デフォルト:0 (dtrace はロードされません)有効な値は以下のとおりです。0- CA ControlMinder は、dtrace による systrace カーネル モジュールのロードを阻止します。1- Dtrace が Systrace カーネル モジュールをロードします。 この場合、システムでモジュールと CA ControlMinder が以下の順序でロードされるようにする必要があります。
- CA ControlMinder のロードと起動(seload)
- systrace のロード(modprobe systrace)
- dtrace のシステム コール
- systrace のアンロード(rmmod systrace)
- CA ControlMinder の停止 (secons -sk)
- CA ControlMinder のアンロード (SEOS_load-u)Systrace および CA ControlMinder を異なる順序でロードすると、システム パニックまたはシステム コールのインターセプトなどの問題を引き起こすことがあります。
- exec_read_enabledCA ControlMinder カーネルがスクリプトの実行を識別するかどうか指定します。有効な値は以下のとおりです。0- CA ControlMinder カーネルはスクリプトの実行を識別しません。1- CA ControlMinder カーネルはスクリプトの実行を識別します。デフォルト: 0注:SAM エージェントがエンドポイントにインストールされている場合、デフォルト値は 1 です。 有効にすると、SAM エージェントは指定されたシェル スクリプトを識別することができます。これらのスクリプトは、PROGRAM リソースとして定義するのではなく、SAM エージェント ファイル(acpwd)を使用します。
- file_bypassデータベースで定義されていないファイルに対するファイル アクセスを CA ControlMinder でチェックするかどうかを示します。 デフォルトでは、CA ControlMinder はデータベースで定義されていないファイルをチェックしません。有効な値は以下のとおりです。-1- すべてのファイルをチェックするわけではありません。0- すべてのファイルをチェックします。デフォルト:-1
- file_rdevice_maxデバイス保護テーブル内のデバイスの最大数を定義します。デフォルト:0 - CA ControlMinder はシステム デバイスを保護しません。注:最低 20 台のシステム デバイスを指定することを推奨します。
- GAC_rootユーザが root である場合にファイルに対して GAC キャッシュを使用するかどうかを指定します。 デフォルトでは、ユーザが root の場合に GAC は使用されません。有効な値は以下のとおりです。0- root ユーザの場合はキャッシュを使用しません。1- root ユーザの場合はキャッシュを使用します。デフォルト:0
- HPUX11_SeOS_Syscall_numberHP-UX 上の SEOS_syscall と通信するためのデフォルトの syscall 番号を指定します。有効な値としては、sysent で使用されていない syscall エントリ番号があります。デフォルト:254
- kill_signal_mask保護対象のシグナルを定義します。有効な値は、SEOS イベントを必要とするすべてのシグナルの論理和を取るマスク(すべてのシグナルを含むマスク)です。デフォルト:SIGKILL、SIGSTOP、SIGTERM のいずれかのイベント。以下に示すように、実際の値はプラットフォームによって異なります。
- HP-UX: 0x804100
- Sun Solaris: 0x404100
- IBM AIX および Digital DEC UNIX: 0x14100
- Linux: 0x44100
- link_protect注:link_protect トークンは使用されません。シンボリック リンクを保護するかどうかを指定します。有効な値は以下のとおりです。0- リンクを保護しません。1- リンクを保護します。デフォルト:0
- LINUX_SeOS_Syscall_numberLINUX 上の SEOS_syscall と通信するために、デフォルトの syscal 番号を定義します。
- max_generic_file_rules(AIX、HP、Linux、および Solaris でのみ有効)データベースで許可される包括的なファイル ルールの最大数を定義します。注:大きな数値を指定すると、さまざまなプラットフォームで異常動作の原因となることがあります。 詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は、512 以上の数値です。デフォルト:256
- max_regular_file_rules(AIX、HP、Linux、および Solaris でのみ有効)データベースで許可されるファイル ルールの最大数を定義します。注:大きな数値を指定すると、さまざまなプラットフォームで異常動作の原因となることがあります。 詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は、4096 以上の数値です。デフォルト:4096
- mount_protectCA ControlMinder が使用するディレクトリのマウントとマウント解除を許可するかどうかを指定します。有効な値は以下のとおりです。0- マウントを許可します。1- マウントを許可しません。デフォルト:1
- proc_bypassファイルがプロセス ファイル システム(/proc)に属しているときにファイル アクセスをチェックするかどうかを指定します。有効な値は以下のとおりです。0- トークンは無視されます。1- ファイル アクセス チェックを省略します。デフォルト:1
- SEOS_network_intercept_type(HP-UX 11.11、11.23、11.31、および Sun Solaris 8、9、10、11 で有効)使用するネットワーク インターセプトのタイプを指定します。重要:SEOS_use_streams を yes に設定する必要もあります。 SEOS_network_intercept_type トークンは自分で変更しないでください。 詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は以下のとおりです。0- TCP フック1- ストリーム2-ネットワークのシステム コールデフォルト: 1、ただし、Solaris 10 Update 2 ではデフォルト値は 0 です。
- SEOS_request_timeout認証キューで要求を保持する時間を指定します。有効な値は以下のとおりです。0- タイムアウトは無効です。2 ~ 1000- タイムアウト間隔(秒単位)デフォルト: 0注:タイムアウトが 2 秒未満または 1000 秒を超える時間に設定されると、CA ControlMinder によってデフォルト値(0)が割り当てられて、タイムアウトは適用されません。
- SEOS_streams_attach(HP-UX 11.11、11.23、11.31、および Sun Solaris 8、9、10、11 で有効)CA ControlMinder が、起動時に、SEOS ストリームを開いている TCP ストリームに接続するかどうかを指定します。この設定を変更する場合は、ネットワークをすでに監視しているデーモンを CA ControlMinder で保護するために、このデーモンを再起動する必要があります。SEOS_streams_attach を使用するには、SEOS ストリームをネットワーク インターセプトの方法として設定します。有効な値は、yes および no です。デフォルト:yes
- SEOS_unload_enabledSEOS_syscall カーネル モジュールをアンロードできるかどうかを指定します。有効な値は以下のとおりです。0- アンロードできません。1- アンロードできます。デフォルト:1
- SEOS_use_ioctlCA ControlMinder のカーネル モジュールの通信方法 (ioctl またはシステム コール) を指定します。使用可能なシステム コール番号がオペレーティング システムによってすべて使用中の場合は、通信方法として ioctl を使用できます。重要:このトークンは自分で変更しないでください。 詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。有効な値は以下のとおりです。0- システム コール1- ioctlデフォルト: 0
- SEOS_use_streams(HP-UX 11.11、11.23、11.31、および Sun Solaris 8、9、10、11 で有効)ネットワーク インターセプトに streams サブシステムを使用するかどうかを指定します。有効な値は、yes および no です。デフォルト:no
- silent_adminメンテナンス ユーザのユーザ ID を定義します。 セキュリティが停止していて、silent_deny が yes である場合、このユーザのアクティビティが許可されます。 メンテナンス ユーザを定義するには、ユーザ数値 UNIX UID を使用します。デフォルト:0(root のユーザ ID)
- silent_denyセキュリティが停止しているときにイベントを拒否するかどうかを指定します。有効な値は以下のとおりです。yes- silent deny が有効です(メンテナンス モード)。no- silent deny が無効です。デフォルト:no
- STAT_interceptSTAT システム コールが発生したときにファイル アクセスをチェックするかどうかを指定します。有効な値は以下のとおりです。0- ファイル アクセスをチェックしません。1- ファイル アクセスをチェックします。1 (ファイル アクセスをチェックする)を指定した場合、Privileged Identity Managerでは、読み取り権限を持たないユーザが、ファイルに関する情報を取得する操作を行うことはできません。 このようなユーザの試行は、監査ログに「read」として記録されます。 この値を 0 に設定した場合、読み取り権限を持たないすべてのユーザがファイル情報を取得できます。デフォルト: 0
- STOP_enabledSTOP 機能を使用するかどうかを指定します。これは、スタック オーバーフロー攻撃から保護する機能です。有効な値は以下のとおりです。0- オフ。1- オン。デフォルト: 0
- suid_cache_maxsetuid キャッシュで、エントリの最大数を指定します。 setuid キャッシュは、sftp などの非 PAM 対応ログイン アプリケーションの管理に使用されます。0- キャッシュは無効です。デフォルト:128注:CA Technologies スタッフからの指示がない限り、この値は変更しないでください。 詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。
- synchronize_forkfork 同期を管理する方法を指定します。HP-UX プラットフォームで有効な値:1- 親から fork をレポートします。2- 子から fork をレポートします。他のプラットフォームで有効な値:1- 親から同期せずにレポートします。2- 親から同期してレポートします(Linux ではサポートされていません)。制限:1 未満のどのような値も 1 として解釈されます。 1 を超えるどんな値も 2 として解釈されます。デフォルト:1注:さまざまなプラットフォーム上で異常動作の原因となる可能性があるため、この設定は変更しないでください。 詳細については、当社テクニカル サポート(http://www.ca.com/jp/support/)にお問い合わせください。
- syscall_monitor_enabledCA ControlMinder のコードを実行しているプロセスを CA ControlMinder が監視するかどうかを指定します。 監視を有効にしている場合(デフォルト)は、secons -sc または secons -scl を使用してこれらのプロセスを表示できます。有効な値は以下のとおりです。0- 非アクティブ1- アクティブデフォルト:1
- threshold_timeインターセプトされたシステム コールを危険であると判断されるまでにブロックできる時間(秒)を定義します。 プロセスがこの時間よりも長い時間ブロックされた場合は、CA ControlMinder は SEOS_syscall モジュールのアンロードに失敗する可能性があることを報告します。注:この値は、CA ControlMinder が提供するアンロードの準備状況レポートに影響します。 詳細については、「」を参照してください。デフォルト:60
- trace_enabledSEOS_syscall の循環トレース バッファを使用するかどうかを指定します。有効な値は以下のとおりです。0- トレースを使用しません。1- トレースを使用します。デフォルト: 0
- use_tripAcceptSEOS_syscall をアンロードして、ブロックされている受け入れシステム コールのブロックを解除するときに、tripAccept ユーティリティを使用するかどうかを指定します。 これにより、モジュールがアンロードされた後に、SEOS_syscall コードが実行されなくなります。有効な値は、yes および no です。デフォルト:yes