참조 안내서유틸리티 › seretrust 유틸리티 - 프로그램 다시 트러스트 및 파일 보호를 위한 명령 생성

이전 항목: sereport 유틸리티-Windows에서 HTML 보고서 작성

다음 항목: serevu 유틸리티-실패한 로그인 시도 처리

seretrust 유틸리티 - 프로그램 다시 트러스트 및 파일 보호를 위한 명령 생성

seretrust 유틸리티는 프로그램을 다시 트러스트하고 데이터베이스에 정의된 파일을 보호하기 위해 필요한 selang 명령을 생성합니다. seretrust 유틸리티는 트러스트된 것으로 정의되었지만 그 이후 변경된 SECFILE 및 PROGRAM 리소스의 상태를 보고합니다. seretrust는 프로그램이 변경되었지만 Watchdog이 아직 감지하지 못했는지 여부도 검사합니다. 즉, CA Access Control 데이터베이스에서는 이러한 프로그램이 아직도 트러스트된 상태로 표시된다는 의미입니다. 이러한 프로그램은 프로그램 내용 또는 시간 스탬프가 변경되었으며 프로그램이 다시 트러스트되어야 한다는 메모와 함께 seretrust 출력에 추가됩니다.

참고: UNIX에서 setuid 및 setgid 비트가 포함된 프로그램은 inode 값을 포함한 전체 설명과 함께 데이터베이스에 저장됩니다. 백업에서 시스템을 복원하면 이러한 프로그램은 다른 inode를 차지합니다. CA Access Control은 inode 간의 불일치를 검색하고 트러스트된 모든 프로그램을 언트러스트된 상태로 표시합니다. seretrust 유틸리티는 데이터베이스에 정의된 트러스트된 프로그램을 찾아 inode 값을 업데이트함으로써 CA Access Control을 호출할 때 트러스트된 프로그램이 트러스트된 상태를 유지하도록 합니다.

스위치를 지정하지 않은 경우 언트러스트된 프로그램과 언트러스트된 보안 파일만 처리됩니다.

이 명령의 형식은 다음과 같습니다.

seretrust [-a] [-l|-m|-p|-s] path
-a

트러스트된 객체와 언트러스트된 객체를 모두 처리합니다.

‑-h

이 유틸리티에 대한 도움말을 표시합니다.

l‑

현재 디렉터리에 있는 데이터베이스에서 프로그램 및 파일에 대한 정보를 추출합니다.

이 옵션을 생략하면 seretrust는 CA Access Control이 사용하는 데이터베이스를 처리합니다.

‑m

모든 커널 모듈에 대한 서명을 계산합니다. 커널 모듈 레코드의 서명 속성이 유효하지 않으면 seretrust는 커널 모듈이 트러스트된 상태를 유지하도록 올바른 서명으로 레코드를 업데이트합니다. 서명은 Linux 커널 모듈에 대해서만 사용됩니다.

‑p

PROGRAM 클래스의 레코드만 처리합니다.

‑-s

SECFILE 클래스의 레코드만 처리합니다.

경로

다시 트러스트해야 하는 프로그램 및 보안 파일을 검색하기 위한 기본 경로를 지정합니다.

유틸리티는 지정된 디렉터리 및 모든 하위 디렉터리를 처리합니다.

예: 언트러스트된 프로그램 및 보안 파일을 다시 트러스트

다음 예는 seretrust 유틸리티를 사용하여 프로그램 및 보안 파일을 다시 트러스트하는 방법을 보여줍니다.

참고: 다음 예는 UNIX에서의 샘플 명령 출력을 보여주는 것이지만 Windows에서도 유틸리티는 동일한 작업을 수행합니다.

프로그램 및 보안 파일을 다시 트러스트하려면 다음 단계를 따르십시오.

  1. CA Access Control 데이터베이스 관리자로서 다음 seretrust 명령을 입력합니다. 
    seretrust > retrust_script

    옵션을 지정하지 않았으므로 유틸리티는 트러스트된 프로그램과 보안 파일을 모두 처리합니다. 또한 기본 경로를 지정하지 않았으므로 루트 경로를 사용합니다.

    seretrust는 화면에 다음 정보를 표시합니다.

    Retrusting PROGRAMs & SPECFILEs, Base path = /
Total of 0 entries retrusted. (Class=SECFILE)
Total of 16 entities retrusted. (class=PROGRAM)

    다음은 seretrust가 작성할 수 있는 스크립트 파일의 내용입니다.

    chres PROGRAM ("/usr/bin/chgrpmem") trust
chres PROGRAM ("/usr/bin/chie") trust
chres PROGRAM ("/usr/bin/crontab") trust
chres PROGRAM ("/usr/bin/cu") trust
chres PROGRAM ("/usr/bin/ecs") trust
chres PROGRAM ("/usr/bin/newgrp") trust
chres PROGRAM ("/usr/bin/rmquedev") trust
chres PROGRAM ("/usr/bin/rsh") trust
chres PROGRAM ("/usr/bin/sysck") trust
chres PROGRAM ("/usr/bin/uuname") trust
chres PROGRAM ("/usr/lib/methods/showled") trust
chres PROGRAM ("/usr/lib/mh/post") trust
chres PROGRAM ("/usr/lib/mh/slocal") trust
chres PROGRAM ("/usr/lpp/X11/bin/xlock") trust
chres PROGRAM ("/usr/lpp/X11/bin/xterm") trust
chres PROGRAM ("/usr/sbin/chvirprt") trust
  2. 프로그램과 파일을 다시 트러스트하려면 seretrust가 작성한 selang 스크립트 파일을 실행하십시오. 
    selang ‑f retrust_script