|
|
|
在 [SEOS_syscall] 部分中,以下标记由 SEOS_syscall 内核模块使用。
确定是否回避 SEOS 事件中的 NFS 文件。
有效值包括以下各项:
0-不跳过 NFS 文件。
1-跳过 NFS 文件。
默认值:0
指定是否跳过实际文件路径解析而进行授权。
如果启用此设置 (1),CA Access Control 将不解析文件路径而进行授权。 这样可以加快文件事件的处理。但是,对于使用链接进行的文件访问不会强制执行通用规则。
示例:如果启用此设置并且用户从链接访问 /realpath/files/* 目录中的文件,则对于此目录将不考虑拒绝访问规则。 对于链接 (/alternatepath/*) 也需要具有通用规则。
默认值:0
确定是否使用缓存进行完整路径解析,以确定文件的访问权限。
有效值包括以下各项:
0-不缓存。
1-使用缓存。
默认值:0
确定当为完整路径解析启用缓存时,将会使用的缓存速率。
值越大,表示缓存越好。
默认值:10000
确定是否在 CA Access Control 启动后从 seload 命令调用 tripAccept,如果调用 tripAccept,则定义以逗号分隔的 TCP/IP 端口列表,tripAccept 将连接到这些端口并唤醒端口侦听器。
有效值为任意 TCP/IP 端口号,以及:
0-不从 seload 调用 tripAccept。
限制:0-64000
默认值:0
确定是否将 T_CONN_RES 数据流消息视为 UnixWare 上 fiwput 例程中的高优先级消息。
有效值包括:
1-将 T_CONN_RES 数据流消息作为 fiwput 例程中的高优先级消息进行处理。
0-将 T_CONN_RES 数据流消息作为 fiwput 例程中的低优先级消息进行处理。
默认值:0(在 UnixWare 上应为 1)
确定是否允许在 CA Access Control 运行期间调试任何程序。
有效值包括以下各项:
0-允许调试。
1-不允许调试。
默认值:1
确定 SEOS 后台进程的子级是否可以注册 SEOS 服务。
有效值包括以下各项:
0-任何程序都可以注册 SEOS 服务。
1-只有后代可以注册 SEOS 服务。
默认值:0
指定 CA Access Control 内核是否识别脚本执行。
有效值包括以下各项:
0-CA Access Control 内核不识别脚本执行。
1-CA Access Control 内核识别脚本执行。
默认值:0
注意:如果 PUPM 代理安装在端点上,默认值为 1。 启用此标记后,PUPM 代理无需将 shell 脚本定义为 PROGRAM 资源,即可识别使用 PUPM 代理文件 (acpwd) 的已命名 shell 脚本。
指明 CA Access Control 是否检查数据库中未定义文件的文件访问权限。 默认情况下,CA Access Control 不检查数据库中未定义的文件。
有效值包括以下各项:
-1-不检查任何文件。
0-检查所有文件。
默认值:-1
确定当用户为 root 时,是否对文件使用 GAC 缓存。 默认情况下,不会在用户为 root 用户时使用 GAC。
有效值包括以下各项:
0-不为 root 用户使用缓存。
1-为 root 用户使用缓存。
默认值:0
确定与 HP‑UX 上的 SEOS_syscall 通讯的默认 syscall 编号。
有效值包括 sysent 中所有未使用的 syscall 条目编号。
默认值:254
定义要保护哪些信号。
有效值包括对希望 SEOS 事件用于的所有信号进行 OR(包括)运算的掩码。
默认值:SIGKILL、SIGSTOP 或 SIGTERM 事件。 实际值根据平台不同而有所差异:
确定是否会保护符号链接。
有效值包括以下各项:
0-不保护链接。
1-保护链接。
默认值:0
定义数据库中允许的最大一般文件规则数。
注意:如果使用非常大的值,则可能会导致不同平台上出现异常行为。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
有效值包括大于 (>) 511 的所有数字。
注意:只有 AIX、HP、Linux 和 Solaris 支持此标记。
默认值:512
定义数据库中允许的最大文件规则数。
注意:如果使用非常大的值,则可能会导致不同平台上出现异常行为。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
有效值包括大于 (>) 4095 的所有数字。
注意:只有 AIX、HP、Linux 和 Solaris 支持此标记。
默认值:4096
确定是否允许挂接和取消挂接由 CA Access Control 使用的目录。
有效值包括以下各项:
0-允许挂接。
1-不允许挂接。
默认值:1
确定当文件属于进程文件系统 (/proc) 时是否检查文件访问权限。 有效值包括以下各项:
0-忽略标记
1-跳过文件访问检查
默认值:1
指定要使用的网络截获类型(仅 HP-UX)。
注意:必须还要设置 SEOS_use_streams = yes
有效值包括:
0-TCP hook
1-数据流
默认值:1
重要说明! 请勿自行修改此标记。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
指定 CA Access Control 是否附带运行 STREAMS。
如果更改此设置,则需要重新启动已侦听网络的后台进程,以使 CA Access Control 保护这些后台进程。
注意:此设置仅适用于 Solaris 9 或更早期的版本。
默认值:yes
确定是否可以卸载 SEOS_syscall 内核模块。
有效值包括以下各项:
0-不允许卸载。
1-允许卸载。
默认值:1
指定 CA Access Control 内核模块的通讯方式(ioctl 或系统调用)。
当操作系统正在使用所有可用的系统调用号时,可以使用 ioctl 通讯方式。
值:0-系统调用 1-ioctl
默认值:0
重要说明! 请勿自行修改此标记。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
指定是否使用数据流子系统进行网络拦截(SEOS_load 是否自动将模块推入数据流)。
此设置仅可用于 HP-UX 和 Sun Solaris 版本 8 和 9。
默认值:no
定义维护用户的用户 ID。 在停止安全保护且 silent_deny 为 yes 时,则允许此用户的活动。 使用用户的数字 UNIX UID 定义维护用户。
默认值:0(root 的用户 ID)
确定在关闭安全保护时是否拒绝所有事件。
有效值包括以下各项:
yes-启用静默拒绝(维护模式)。
no-禁用静默拒绝。
默认值:no
指定 stat 系统调用发生时是否检查文件访问权限。
如果指定 1(检查文件访问权限),对于没有读取权限的用户,CA Access Control 将不允许其执行获取有关文件信息的操作,并在审核日志中记录读取。 如果将此标记设置为 0,则任何用户均可获取文件信息。
值:0(不检查文件访问权限),1(检查文件访问权限)。
默认值:0
确定是否使用 STOP 功能从而防御堆栈溢出攻击。
有效值包括以下各项:
0-关。
1-开。
默认值:0
确定如何管理派生同步。
在 HP-UX 平台上
1-父项报告再生
2-子项报告再生
在其他平台上
1-父项只进行报告而不进行同步
2-父项既进行报告又进行同步(在 Linux 上不受支持)
限制:任何小于 1 的值都被解析为 1。 任何大于 1 的值都被解析为 2。
注意:不要修改此设置,因为这样可能会导致不同平台上出现异常行为。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
默认值:1
指定 CA Access Control 是否监控正在执行 CA Access Control 代码的进程。 如果您已启用此功能(默认设置),则可以使用 secons -s 或 secons -scl 查看这些进程。
有效值包括:
0-不活动
1-活动
默认值:1
定义截获的系统调用在被认为存在风险之前可被阻止的时间(秒)。 如果一个进程被阻止的时间长于此时间,CA Access Control 将报告 SEOS_syscall 模块卸载可能失败。
注意:此值将影响 CA Access Control 提供的卸载准备情况报告。 有关详细信息,请参阅《企业管理指南》。
默认值:60
确定是否使用 SEOS_syscall 循环跟踪缓冲区。
有效值包括以下各项:
0-不使用跟踪。
1-使用跟踪。
默认值:0
确定在卸载 SEOS_syscall 时是否使用 tripAccept 实用程序唤醒受阻的接受系统调用。 这将避免在卸载模块后运行 SEOS_syscall 代码。
有效值包括 yes 和 no。
默认值:yes
| 版权所有 © 2012 CA。 保留所有权利。 | 就该主题发送电子邮件至 CA Technologies |