참조 안내서 › 유틸리티 › seuidpgm 유틸리티-트러스트된 프로그램 추출

seuidpgm 유틸리티-트러스트된 프로그램 추출

UNIX에 해당

seuidpgm 유틸리티는 Set‑User‑ID 비트 또는 Set‑Group‑ID 비트가 설정된 모든 프로그램을 추출합니다. seuidpgm은 파일 시스템을 탐색하고 PROGRAM 클래스에 이 프로그램을 추가하기 위해 selang 명령을 작성합니다.

seuidpgm은 selang 명령 언어의 명령을 생성하고 표준 출력에 씁니다. selang 유틸리티에 대한 파이프라인을 사용하거나 출력을 파일로 리디렉션할 수 있습니다. 출력을 편집하여 원치 않는 프로그램을 제거하거나 다른 프로그램을 추가할 수 있으므로 출력을 파일로 리디렉션하는 것이 좋습니다. 시스템에서 원치 않는 setuid 프로그램을 검색하려면 이 절차를 사용하십시오.

참고: seuidpgm 유틸리티를 실행하기 전에 UxImport 유틸리티를 실행하여 사용자 및 그룹을 정의하는 것이 좋습니다. 그러나 UxImport를 실행하지 않은 경우 ‑g 옵션 및 ‑u 옵션과 seuidpgm를 함께 사용하여 사용자 및 그룹을 정의할 수 있습니다.

seuidpgm은 명령줄에 지정된 경로를 통해 시작 경로의 모든 하위 디렉터리로 이동하여 실행됩니다. 여러 개의 시작 경로를 사용할 수 있습니다.

원하는 개수의 옵션을 지정할 수 있습니다. 둘 이상의 옵션을 지정하는 경우 공백으로 옵션을 구분하십시오.

프로그램이 setuid 프로그램이고 쓰기 액세스를 가진 경우 seuidpgm은 프로그램을 다른 모든 setuid 프로그램처럼 처리하지만 표준 오류로 경고를 전송합니다.

참고: PROGRAM 클래스 레코드 제어 방법에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.

이 명령의 형식은 다음과 같습니다.

seuidpgm option startDir ... [-x excludeDir]

d‑

UNIX의 파일 권한을 분석하여 허용된 파일 액세스 권한을 확인하는 대신 defaccess를 EXEC으로 설정하여 PROGRAM 클래스에 setuid 및 setgid 프로그램에 대한 항목을 자동으로 생성합니다. 특정 setuid 또는 setgid 프로그램이 다른 프로그램을 실행하는 경우도 있습니다. 이 옵션을 포함하지 않으면 프로그램이 setuid 또는 setgid 프로그램을 실행하려고 해도 실행할 수 없습니다.

이 옵션을 사용하는 것이 좋습니다.

‑f

FILE 클래스와 PROGRAM 클래스 둘 다에 대한 규칙을 생성합니다.

‑g

setgid 프로그램에 대한 GROUP 레코드를 생성합니다.

참고: UxImport를 실행하지 않은 경우에만 이 옵션을 사용하십시오.

l‑

하드 링크 또는 심볼 링크가 있는 프로그램에 대해 단일 허용을 작성합니다.

root 디렉터리가 아닌 일부 디렉터리에서만 파일 시스템을 스캔하고 ‑l 옵션을 포함하려면 명령행에서 여러 시작 경로를 사용하십시오. 그렇지 않으면 ‑l 옵션이 무효가 될 수 있습니다.

‑n

NFS를 통과하지 않습니다.

이 옵션을 사용하는 것이 좋습니다.

‑o

파일 이름을 표준 출력에 쓰지만 selang 명령을 생성하지는 않습니다.

‑p

마운트 테이블에서 마운트된 파일 시스템의 setuid를 허용하는 경우에만 NFS 디렉터리의 setuid 프로그램을 활성화합니다.

‑q

자동 모드로 유틸리티를 실행합니다. 오류 메시지가 표준 오류로 전송되지 않습니다.

‑-s

PROGRAM 클래스의 항목을 생성하는 대신 SECFILE 클래스에 setuid/setgid 프로그램에 대한 항목을 생성합니다.

‑u

setuid 프로그램에 대한 USER 레코드를 생성합니다.

참고: UxImport를 실행하지 않은 경우에만 이 옵션을 사용하십시오.

‑x excludeDir

트리에서 디렉터리를 제외합니다. 지정된 디렉터리는 setuid 및 setgid 프로그램을 검색하지 않습니다. 이 옵션은 명령줄에 지정된 마지막 옵션이어야 합니다. path는 제외할 디렉터리의 전체 경로입니다. 둘 이상의 디렉터리를 제외하려면 각 디렉터리에 대해 ‑x 옵션을 반복하십시오.

startDir

트러스트된 프로그램을 검색할 상위 디렉터리의 목록을 공백으로 구분하여 지정합니다.

예제

• 다음 명령은 set‑user‑id 또는 set‑group‑id가 설정된 상태에서 모든 프로그램을 추가하는 selang 명령을 인쇄하고, defaccess 실행 권한으로 NFS를 경유하지 않고 자동 모드에서 중복된 이름이나 동일한 inode를 검사합니다. 프로그램은 /usr 디렉터리와 해당 하위 디렉터리, /var 디렉터리와 해당 하위 디렉터리, /etc 디렉터리와 해당 하위 디렉터리에서 스캔합니다. 출력은 홈 디렉터리의 seprogs.seos 파일로 전송됩니다.

  seuidpgm ‑dlqn /usr /var /etc > ~/seprogs.seos
  

  출력 형식은 다음과 유사해야 합니다.

  ## *************************************************

   ## seuidpgm List Sun Feb 9 14:24:16 1997
   # Start Path= /usr
   # ************************************************
   nr PROGRAM /usr/lpp/bos/inst_root/lpp/inu_LOCK defaccess(EXEC)
   nr PROGRAM /usr/lpp/X11/bin/xlock defaccess(EXEC)
   nr PROGRAM /usr/bin/setsenv defaccess(EXEC)
   nr PROGRAM /usr/bin/shell defaccess(EXEC)
   nr PROGRAM /usr/bin/su defaccess(EXEC)
   nr PROGRAM /usr/bin/sysck defaccess(EXEC)
   nr PROGRAM /usr/bin/tcbck defaccess(EXEC)
   nr PROGRAM /usr/bin/usrck defaccess(EXEC)
   nr PROGRAM /usr/bin/vmstat defaccess(EXEC)
  

• 다음 명령은 /home 디렉터리를 제외한 모든 하위 디렉터리와 root 디렉터리를 스캔합니다.

  seuidpgm ‑qln / ‑x /home
  

추가 정보:

UxImport 유틸리티-UNIX 운영 체제에서 정보 추출

selang 유틸리티-CA ControlMinder 명령줄 실행

seoswd Daemon

seosd 데몬