SEOS_syscall

[SEOS_syscall] 섹션에서 SEOS_syscall 커널 모듈은 다음 토큰을 사용합니다.
cminder12902kr
[SEOS_syscall] 섹션에서 SEOS_syscall 커널 모듈은 다음 토큰을 사용합니다.
  • bypass_NFS
    SEOS 이벤트에서 NFS 파일을 바이패스할지 여부를 결정합니다.
    유효한 값:
    0-
    NFS 파일을 바이패스하지 않습니다.
    1-
    NFS 파일을 바이패스합니다.
    기본값
    : 0
  • bypass_realpath
    권한 부여에 대해 실제 파일 경로 확인을 바이패스할지 여부를 지정합니다.
    이 설정을 (1)로 지정하면 CA ControlMinder는 권한 부여에 대해 파일 경로를 확인하지 않습니다. 이렇게 하면 파일 이벤트 처리의 속도가 빨라집니다. 하지만 링크를 사용하는 파일 액세스에 대해서는 일반 규칙이 시행되지 않습니다.
    예제
    : 이 설정이 사용되고 링크를 통해 사용자가 이 디렉터리에 있는 파일을 액세스하는 경우 /realpath/files/*에 대한 액세스 거부 규칙은 고려되지 않습니다. 링크에 대한 일반 규칙도 만드십시오(/alternatepath/*).
    기본값
    : 0(비활성)
  • cache_enabled
    파일에 대한 액세스 권한을 결정하기 위해 전체 경로 확인에 캐싱을 사용할지 여부를 지정합니다.
    유효한 값:
    0
    -캐싱 없음.
    1
    -캐싱 사용.
    기본값:
    0
  • cache_rate
    캐시를 전체 경로 확인에 사용하는 경우 사용되는 캐시율을 결정합니다.
    값이 클수록 캐시가 더 잘 됩니다.
    기본값:
    10000
  • call_tripAccept_from_seload
    CA ControlMinder가 시작한 이후 seload 명령에서 tripAccept를 호출할지 여부를 결정하고, tripAccept가 호출되는 경우 tripAccept가 연결하여 포트의 수신기를 활성화해야 하는 TCP/IP 포트의 쉼표로 구분된 목록을 정의합니다.
    유효한 값:
    1 - 64000
    - 임의의 TCP/IP 포트 번호
    0
    -seload에서 tripAccept를 호출하지 않습니다.
    제한:
    0-64000
    기본값:
    0
  • cdserver_conn_res
    UnixWare의 fiwput 루틴에서 T_CONN_RES 스트림 메시지를 우선 순위가 높은 메시지로 처리할지 여부를 결정합니다.
    유효한 값:
    1
    -fiwput 루틴에서 T_CONN_RES 스트림 메시지를 우선 순위가 높은 메시지로 처리합니다.
    0
    -fiwput 루틴에서 T_CONN_RES 스트림 메시지를 우선 순위가 낮은 메시지로 처리합니다.
    기본값
    : 0 (UnixWare에서는 1)
  • debug_protect
    CA ControlMinder가 실행되는 동안 프로그램 디버깅을 허용할지 여부를 결정합니다.
    유효한 값:
    0
    -디버깅을 허용합니다.
    1
    -디버깅을 허용하지 않습니다.
    기본값
    : 1
  • DESCENDENT_dependent
    SEOS 데몬의 후손이 SEOS 서비스를 등록할 수 있는지 여부를 결정합니다.
    유효한 값:
    0
    -아무나 SEOS 서비스를 등록할 수 있습니다.
    1
    -하위 데몬만 SEOS 서비스를 등록할 수 있습니다.
    기본값
    : 0
  • dtrace_coexistence
    CA ControlMinder가 dtrace와 공존하는 방식을 정의합니다. dtrace가 설치되고 syscalls를 모니터링하도록 설정된 경우 dtrace는 systrace 커널 모듈을 로드합니다. 이 모듈은 CA ControlMinder와 상호 작용하여 정의되지 않은 결과를 생성하며 시스템 패닉 또는 syscall 차단 문제를 발생시킬 수 있습니다.
    기본값
    : 0(dtrace가 로드되지 않도록 함)
    유효한 값:
    0
    - CA ControlMinder는 dtrace가 systrace 커널 모듈을 로드하지 못하도록 합니다.
    1
    - dtrace가 systrace 커널 모듈을 로드합니다. 이 경우 시스템이 다음 순서로 모듈과 CA ControlMinder를 로드하는지 확인해야 합니다.
    1. CA ControlMinder 로드 및 시작(seload)
    2. systrace 로드(modprobe systrace)
    3. dtrace 시스템 호출
    4. systrace 언로드(rmmod systrace)
    5. CA ControlMinder 중지(secons -sk)
    6. CA ControlMinder 언로드(SEOS_load -u)
      systrace와 CA ControlMinder를 다른 순서로 로드하면 시스템 패닉 또는 syscall 차단 문제가 발생할 수 있습니다.
  • exec_read_enabled
    CA ControlMinder 커널이 스크립트 실행을 식별할지 여부를 지정합니다.
    유효한 값:
    0
    - CA ControlMinder 커널이 스크립트 실행을 식별하지 않습니다.
    1
    - CA ControlMinder 커널이 스크립트 실행을 식별합니다.
    기본값
    : 0
    참고
    SAM 에이전트가 끝점에 설치된 경우 기본값은 1입니다. 활성화된 경우 SAM 에이전트는 스크립트를 PROGRAM 리소스로 정의하지 않고 SAM 에이전트 파일(acpwd)을 사용하는 명명된 셸 스크립트를 식별할 수 있습니다.
  • file_bypass
    CA ControlMinder가 데이터베이스에 정의되지 않은 파일에 대한 액세스를 검사할지 여부를 나타냅니다. 기본적으로 CA ControlMinder는 데이터베이스에 정의되지 않은 파일을 검사하지 않습니다.
    유효한 값:
    -1
    -모든 파일을 검사하지는 않습니다.
    0
    -모든 파일을 검사합니다.
    기본값:
    -1
  • file_rdevice_max
    장치 보호 테이블의 최대 장치 수를 정의합니다.
    기본값:
    0 - CA ControlMinder가 시스템 장치를 보호하지 않습니다.
    참고
    최소 20개 이상의 시스템 장치를 지정할 것을 권장합니다.
  • GAC_root
    사용자가 root인 경우 파일에 GAC 캐싱을 사용할지 여부를 결정합니다. 기본적으로 GAC는 사용자가 루트일 경우 사용되지 않습니다.
    유효한 값:
    0
    -root 사용자에 대해 캐싱 없음.
    1
    -root 사용자에 대해 캐싱 사용.
    기본값:
    0
  • HPUX11_SeOS_Syscall_number
    HP-UX의 SEOS_syscall과 통신하는 기본 syscall 번호를 결정합니다.
    유효한 값은 sysent에서 사용되지 않은 syscall 항목 번호입니다.
    기본값
    : 254
  • kill_signal_mask
    보호할 신호를 정의합니다.
    유효한 값은 SEOS 이벤트에서 원하는 모든 신호를 포함하는 마스크입니다.
    기본값
    : SIGKILL, SIGSTOP 또는 SIGTERM 이벤트.
    실제 값은 플랫폼에 따라 다릅니다.
    • (HP-UX) 0x804100
    • (Sun Solaris) 0x404100
    • (IBM AIX 및 Digital DEC UNIX) 0x14100
    • (Linux) 0x44100
  • link_protect
    참고
    link_protect 토큰이 사용되지 않습니다.
    심볼 링크 보호 여부를 결정합니다.
    유효한 값:
    0
    -링크가 보호되지 않습니다.
    1
    -링크가 보호됩니다.
    기본값:
    0
  • LINUX_SeOS_Syscall_number
    LINUX의 SEOS_syscall과 통신하는 기본 syscall 번호를 결정합니다.
  • max_generic_file_rules
    (AIX, HP, Linux 및 Solaris에만 해당) 데이터베이스에서 허용되는 일반 파일 규칙의 최대 개수를 정의합니다.
    참고:
    너무 큰 수를 사용하면 서로 다른 플랫폼에서 잘못된 동작이 발생할 수 있습니다. 도움이 필요한 경우 CA Support(http://www.ca.com/worldwide)에 문의하십시오.
    유효한 값은 511보다 큰 수입니다.
    기본값
    : 256
  • max_regular_file_rules
    (AIX, HP, Linux 및 Solaris에만 해당) 데이터베이스에 허용되는 파일 규칙의 최대 개수를 정의합니다.
    참고:
    너무 큰 수를 사용하면 서로 다른 플랫폼에서 잘못된 동작이 발생할 수 있습니다. 도움이 필요한 경우 CA Support(http://www.ca.com/worldwide)에 문의하십시오.
    유효한 값은 4095보다 큰 수입니다.
    기본값
    : 4096
  • mount_protect
    CA ControlMinder가 사용하는 디렉터리에 대해 마운트 및 언마운트를 허용할지 여부를 결정합니다.
    유효한 값:
    0
    -마운트를 허용합니다.
    1
    -마운트를 허용하지 않습니다.
    기본값
    : 1
  • proc_bypass
    파일이 프로세스 파일 시스템(/proc)에 속하는 경우 파일 액세스를 확인할지 여부를 결정합니다.
    유효한 값:
    0
    - 토큰이 무시됩니다.
    1
    - 파일 액세스 검사를 바이패스합니다.
    기본값
    : 1
  • SEOS_network_intercept_type
    (HP-UX 11.11, 11.23, 11.31 및 Sun Solaris 8, 9, 10, 11에 해당) 
    사용할 네트워크 차단 유형을 지정합니다.
    중요!
    또한 SEOS_use_streams = yes도 구성해야 합니다. SEOS_network_intercept_type 토큰을 직접 수정하지 마십시오. 도움이 필요한 경우 CA Support(http://www.ca.com/worldwide)에 문의하십시오.
    유효한 값:
    0
    - TCP 후크
    1
    - 스트림
    2
    - 네트워크 시스템 호출
    기본값
    : 1. Solaris 10 업데이트 2의 경우 예외적으로 기본값이 0입니다.
  • SEOS_request_timeout
    권한 부여 큐에 요청을 유지하는 시간을 지정합니다.
    유효한 값:
    0
    - 시간 만료가 비활성화됩니다.
    2 - 1000
    - 시간 만료 간격(초)입니다.
    기본값
    : 0
    참고:
    시간 만료가 2 초보다 작거나 1000 초보다 크게 설정되면 CA ControlMinder는 기본값(0)을 할당하고 시간 만료를 적용하지 않습니다.
  • SEOS_streams_attach
    (HP-UX 11.11, 11.23, 11.31 및 Sun Solaris 8, 9, 10, 11에 해당) 
    시작 시 CA ControlMinder가 SEOS 스트림을 열린 TCP 스트림에 연결할지 지정합니다.
    이 설정을 변경할 경우 CA ControlMinder의 보호에 대해 이미 네트워크에서 수신 대기하고 있는 데몬을 다시 시작해야 합니다.
    SEOS_streams_attach를 사용하려면 SEOS 스트림을 네트워크 차단 방법으로 구성합니다.
    유효한 값은 yes와 no입니다.
    기본값
    : yes
  • SEOS_unload_enabled
    SEOS_syscall 커널 모듈을 언로드할 수 있는지 여부를 결정합니다.
    유효한 값:
    0
    -언로드를 허용하지 않습니다.
    1
    -언로드를 허용합니다.
    기본값
    : 1
  • SEOS_use_ioctl
    CA ControlMinder 커널 모듈 통신 방법을 지정합니다(ioctl 또는 시스템 호출). 사용 가능한 모든 시스템 호출 번호가 운영 체제에 의해 사용되고 있을 경우 ioctl 통신 방법을 사용할 수 있습니다.
    중요!
    이 토큰을 직접 수정하지 마십시오. 도움이 필요한 경우 CA Support(http://www.ca.com/worldwide)에 문의하십시오.
    유효한 값:
    0
    - 시스템 호출
    1
    - ioctl
    기본값
    : 0
  • SEOS_use_streams
    (HP-UX 11.11, 11.23, 11.31 및 Sun Solaris 8, 9, 10, 11에 해당)
    네트워크 차단에 스트림 하위 시스템을 사용할지 여부를 지정합니다.
    유효한 값은 yes와 no입니다.
    기본값
    : no
  • silent_admin
    유지 관리 사용자의 사용자 ID를 정의합니다. 보안이 중단되고 silent_deny가 yes인 경우 이 사용자의 활동은 허용됩니다. 유지 관리 사용자를 정의하려면 사용자 숫자 UNIX UID를 사용하십시오.
    기본값
    : 0(root의 사용자 ID)
  • silent_deny
    보안이 중단될 때 모든 이벤트를 거부할지 여부를 결정합니다.
    유효한 값:
    yes
    -자동 거부가 활성화됩니다(유지 관리 모드).
    no
    -자동 거부가 비활성화됩니다.
    기본값
    : no
  • STAT_intercept
    stat 시스템 호출이 발생할 때 파일 액세스를 검사할지 여부를 지정합니다.
    1(파일 액세스 검사)을 지정하면 CA ControlMinder는 읽기 권한이 없는 사용자가 감사 로그의 파일 및 레코드 읽기에 대해 정보를 얻는 작업을 수행하는 것을 허용하지 않습니다. 이 값을 0으로 설정하면 모든 사용자가 파일 정보를 얻을 수 있습니다.
    0
    -파일 액세스를 검사하지 않습니다.
    1
    -파일 액세스를 검사합니다.
    기본값
    : 0
  • STOP_enabled
    스택 오버플로 공격을 방지하는 STOP 기능을 사용할지 여부를 결정합니다.
    유효한 값:
    0
    -해제합니다.
    1
    -설정합니다.
    기본값
    : 0
  • suid_cache_max
    setuid 캐시의 최대 항목 수를 지정합니다. setuid 캐시는 sftp와 같은 PAM 미사용 로그인 응용 프로그램에 사용됩니다.
    0
    -캐시가 비활성화됩니다.
    기본값
    : 128
    참고:
    CA Technologies 직원이 지시하지 않는 한 이 값을 변경하지 마십시오. 도움이 필요한 경우 CA Support(http://www.ca.com/worldwide)에 문의하십시오.
  • synchronize_fork
    포크 동기화를 관리하는 방법을 결정합니다.
    HP-UX 플랫폼에서 유효한 값:
    1
    -부모로부터의 포크 보고
    2
    -자식으로부터의 포크 보고
    다른 플랫폼에서 유효한 값:
    1
    -동기화 없이 부모가 보고
    2
    -동기화와 함께 부모가 보고(Linux에서는 지원되지 않음)
    제한
    : 1보다 작은 값은 1로 해석됩니다. 1보다 큰 값은 2로 해석됩니다.
    기본값:
    1
    참고:
    다른 플랫폼에서는 예상치 못한 결과가 발생할 수 있으므로 이 설정을 수정하지 마십시오. 도움이 필요한 경우 CA Support(http://www.ca.com/worldwide)에 문의하십시오.
  • syscall_monitor_enabled
    CA ControlMinder가 CA ControlMinder 코드를 실행 중인 프로세스를 모니터링하는지 여부를 지정합니다. 모니터링을 활성화하는 경우(기본값) secons -sc 또는 secons -scl을 사용하여 이러한 프로세스를 볼 수 있습니다.
    유효한 값:
    0
    -비활성
    1
    -활성
    기본값
    : 1
  • threshold_time
    차단된 시스템 호출이 위험 내용으로 간주되기 전에 차단될 수 있는 기간(초)을 정의합니다. 프로세스가 이 시간보다 오랜 기간 동안 차단되면 CA ControlMinder에서 SEOS_syscall 모듈 언로드가 실패할 수 있다고 보고합니다.
    참고:
    이 값은 CA ControlMinder가 제공하는 언로드 준비 보고서에 영향을 줍니다. 자세한 내용은 를 참조하십시오.
    기본값:
    60
  • trace_enabled
    SEOS_syscall 순환 추적 버퍼 사용 여부를 결정합니다.
    유효한 값:
    0
    -추적 사용 안 함.
    1
    -추적 사용함.
    기본값
    : 0
  • use_tripAccept
    차단된 accept 시스템 호출을 깨우기 위해 SEOS_syscall을 언로드할 때 tripAccept 유틸리티를 사용할지 여부를 결정합니다. 이렇게 하면 모듈이 언로드된 후 SEOS_syscall 코드가 실행되지 않습니다.
    유효한 값은 yes와 no입니다.
    기본값
    : yes