secons ユーティリティ - UNIX での CA Access Control の停止

リファレンスガイド › ユーティリティ › secons ユーティリティ › secons ユーティリティ - UNIX での CA Access Control の停止

secons ユーティリティ - UNIX での CA Access Control の停止

UNIX で該当

secons ユーティリティは、CA Access Control および関連付けられているデーモンを停止します。 secons ユーティリティを使用して、CA Access Control コードを実行中のプロセスを確認できます。

CA Access Control を停止できるのは、ADMIN または OPERATOR として定義されたユーザのみです。リモートコンピュータ上の CA Access Control を停止できるのは、そのリモートコンピュータで ADMIN または OPERATOR として定義されたユーザのみです。

このコマンドの形式は以下のようになります。

secons [-s [hosts | ghosts]] ¥

[-S [{selogrd | selogrcd | serevu}]] ¥
[-sc] [-scl] [-sk]

‑s [hosts | ghosts]

スペース区切りリストで定義されたリモートホスト上の CA Access Control デーモンを停止します。ホストを指定しない場合、CA Access Control はローカルホスト上のサービスを停止します。

ghost レコードの名前を入力することで、ホストグループを定義できます。このオプションをリモート端末から使用する場合は、ユーティリティによってパスワードの検証が要求されます。また、リモートコンピュータとローカルコンピュータの管理者権限、およびローカルコンピュータでのリモートホストデータベースに対する書き込み権限も必要です。

‑S [{selogrd | selogrcd | serevu}]

デーモンを定義していない場合は、CA Access Control デーモンを停止し、アクティブなデーモン（selogrd、selogrcd、および serevu）の停止を試みます。 seos.ini ファイルの [daemons] セクションの selogrd、selogrcd、または serevu の各トークンが yes に設定されている場合、CA Access Control がすでに停止していると、実行中の CA Access Control のメインデーモンに終了要求が送信されるか、または指定されたデーモンに終了シグナルが送信されます。

デーモンを定義している場合、secons は CA Access Control デーモンを停止しません。 seos.ini ファイルの [daemons] セクションの該当するトークンが yes に設定されている場合、CA Access Control が停止していると、実行中の CA Access Control のメインデーモンに終了要求が送信されるか、またはそのデーモンに終了シグナルが送信されます。

-sc[l]

CA Access Control コードを実行中のプロセスを表示します。

CA Access Control 上にロードされているアプリケーションに、CA Access Control によってフックされるオープンシステムコール（syscall）がある場合は、CA Access Control をアンロードできません。 CA Access Control コードを実行中のプロセスを確認した後、これらのプロセスを停止し、CA Access Control カーネルモジュールをアンロードできます。 UNIX exit を使用すると、カーネルのアンロード前にこれらのプロセスを自動的に停止してから、カーネルのアンロード後に自動的に再起動できます。

-sc 出力は 2 列のテーブルとして表示されます。1 列目にはシステムコール番号が、2 列目にはプロセス識別子が表示されます。

-scl オプションでは、CA Access Control コードを実行中のプロセスに関して、親プロセス ID（PPID）、UID、時刻、およびプログラム名の情報も示されます。時刻情報により、そのプロセスが CA Access Control をフックしている時間を確認できます。この時間が比較的短い場合、フックは一時的なものと考えることができます。

また、CA Access Control の実行中にこのコマンドを実行すると、アンロードの問題を引き起こす原因を事前に予測するのに役立ちます。ただし、accept コマンドなどでは、CA Access Control コードによってアンロード中にフックが削除される場合があります。これは、CA Access Control の実行中にアクティブなフックが見つかった場合でも、実際にはアンロードに影響しないことがあることを意味します。

注：デフォルトでは、CA Access Control は CA Access Control によってインターセプトされるシステムコールを監視します。 CA Access Control がシステムコールを監視しないようにするには、seos.ini ファイルの syscall_monitor トークンを 0（無効）に設定する必要があります。

-sk

すべての CA Access Control デーモンを停止し、CA Access Control カーネル拡張機能をアンロードする準備を行います。

例： CA Access Control の停止

CA Access Control デーモンを停止するには、以下のように入力します。
```
secons ‑s
```
リモートホスト HOST1 および HOST2 上の CA Access Control デーモンを停止するには、以下のように入力します。
```
secons ‑s HOST1 HOST2
```

例： CA Access Control コードを実行中のプロセスに関する情報の表示

CA Access Control コードを実行中のプロセスに関する基本情報を表示するには、以下のように入力します。
```
secons ‑sc
```
出力は以下のようになります。
```
CA Access Control secons vX.X.X.xxx - Console utility
Copyright (c) YYYY CA. All rights reserved.
Active system calls:

syscall    5 - PID:  27477
```
CA Access Control コードを実行中のプロセスに関する詳細情報を表示するには、以下のように入力します。
```
secons ‑scl
```
出力は以下のようになります。
```
CA Access Control secons vX.X.X.xxx - Console utility
Copyright (c) YYYY CA. All rights reserved.
Active system calls:

-Syscall  102 - PID:   2105  PPID:      1 UID:      0 TIME:    4d-4h PROGRAM NAME: /usr/sbin/vsftpd
 Syscall    5 - PID:  24269  PPID:   4289 UID:      0 TIME:   2d-21h PROGRAM NAME: /bin/bash
```
出力行の先頭のダッシュ（-）は、アンロード時にこのフックによって問題が発生する可能性は低いと CA Access Control が評価していることを意味します。このコマンドを使用する場合、CA Access Control は CA Access Control のアンロードが成功する可能性が高いかどうかを記録する監査ログに行を追加します。たとえば、secons -scl を実行したときに、CA Access Control のアンロードを妨げる可能性があるシステムコールが少なくとも 1 つ存在する場合、以下の監査ログレコードが作成されます。
```
10 Nov 2008 05:47:22 F CHECK        root       Scan      339  0 SEOS_syscall     unload
```

このトピックについて CA Technologies に電子メールを送信する