|
|
|
UNIX에 해당
secons 유틸리티는 CA ControlMinder 및 관련 데몬을 종료합니다. 이 유틸리티를 사용하면 어떤 프로세스가 아직도 CA ControlMinder 코드를 실행 중인지 확인할 수 있습니다.
ADMIN 또는 OPERATOR로 정의된 사용자만 CA ControlMinder을 종료할 수 있습니다. 원격 컴퓨터에서 CA ControlMinder을 종료하려면, 사용자는 해당 원격 컴퓨터에서 ADMIN 또는 OPERATOR로 정의되어 있어야 합니다.
이 명령의 형식은 다음과 같습니다.
secons [-s [hosts | ghosts]] \
[-S [{selogrd | selogrcd | serevu}]] \
[-sc] [-scl] [-sk]
공백으로 구분하여 정의된 원격 호스트 목록에서 CA ControlMinder 데몬을 종료합니다. 호스트를 지정하지 않으면 CA ControlMinder이 로컬 호스트에서 종료됩니다.
ghost 레코드의 이름을 입력하여 호스트 그룹을 정의할 수 있습니다. 원격 터미널에서 이 옵션을 사용하면 유틸리티가 암호 확인을 요청합니다. 원격 컴퓨터와 로컬 컴퓨터에서 모두 관리자 권한이 필요할 뿐만 아니라 원격 호스트 데이터베이스에 로컬 컴퓨터에 대한 쓰기 권한이 있어야 합니다.
사용자가 데몬을 정의하지 않은 경우, CA ControlMinder 데몬을 종료하고 활성 데몬 selogrd, selogrcd 및 serevu를 종료하려고 시도합니다. seos.ini 파일의 [daemons] 섹션에 있는 selogrd, selogrcd 또는 serevu 토큰이 yes로 설정되어 있는 경우, 실행 중인 CA ControlMinder 주 데몬으로 종료 요청을 전송하거나 CA ControlMinder이 이미 종료된 경우 지정한 데몬으로 종료 신호를 전송합니다.
사용자가 데몬을 정의하면 secons는 CA ControlMinder 데몬을 종료하지 않습니다. seos.ini 파일의 [daemons] 섹션에 있는 해당 토큰이 yes로 설정되어 있으면, 실행 중인 CA ControlMinder 주 데몬으로 종료 요청을 전송하거나 CA ControlMinder이 이미 종료된 경우 해당 데몬으로 종료 신호를 전송합니다.
아직도 CA ControlMinder 코드를 실행 중인 프로세스를 표시합니다.
CA ControlMinder의 최상위에 로드된 응용 프로그램에 CA ControlMinder에 연결된 open 시스템 호출(syscall)이 있는 경우 CA ControlMinder을 언로드할 수 없습니다. 어떤 프로세스가 아직도 CA ControlMinder 코드를 실행 중인지 알게 되면 해당 프로세스를 종료하고 CA ControlMinder 커널 모듈을 언로드할 수 있습니다. 커널을 언로드하기 전에 UNIX exit를 사용하여 이러한 프로세스를 자동으로 종료한 다음, 커널이 언로드된 후에 이들을 다시 시작할 수 있습니다.
-sc 출력은 두 개의 열로 구성된 표를 표시하는데, 첫 번째 열에는 시스템 호출 번호가 있고 두 번째 열에는 프로세스 식별자가 있습니다.
-scl 옵션은 또한 아직도 CA ControlMinder 코드를 실행 중인 프로세스에 대한 PPID(Parent Process ID - 부모 프로세스 ID), UID, 시간 및 프로그램 이름 정보를 표시합니다. 시간 정보를 보면 CA ControlMinder에 대한 프로세스의 후크(hook) 시간을 알 수 있습니다. 시간이 비교적 짧으면 후크가 일시적인 것일 수 있습니다.
또한 CA ControlMinder이 실행 중인 동안에도 이를 실행하여 언로드 문제를 일으킬 수 있는 요인을 미리 예측할 수 있습니다. 그러나 경우에 따라(예: accept 명령) CA ControlMinder 코드는 언로드 중에 후크를 제거합니다. 이는 CA ControlMinder 실행 중에 보이는 활성 후크 중 일부는 실제로 언로드에 영향을 미치지 않음을 의미합니다.
참고: 기본적으로 CA ControlMinder은 CA ControlMinder에서 차단한 시스템 호출을 모니터링합니다. CA ControlMinder이 시스템 호출을 모니터링하지 않도록 하려면 seos.ini 파일에서 syscall_monitor 토큰을 0(비활성)으로 설정해야 합니다.
CA ControlMinder 데몬을 모두 종료하고 언로드할 CA ControlMinder 커널 확장을 준비합니다.
예: CA ControlMinder 종료
secons ‑s
secons ‑s HOST1 HOST2
예: 아직도 CA ControlMinder 코드를 실행 중인 프로세스에 대한 정보 표시
secons ‑sc
수신하는 출력은 다음과 유사합니다.
CA Access Control secons vX.X.X.xxx - Console utility Copyright (c) YYYY CA. All rights reserved. Active system calls: syscall 5 - PID: 27477
secons ‑scl
수신하는 출력은 다음과 유사합니다.
CA Access Control secons vX.X.X.xxx - Console utility Copyright (c) YYYY CA. All rights reserved. Active system calls: -Syscall 102 - PID: 2105 PPID: 1 UID: 0 TIME: 4d-4h PROGRAM NAME: /usr/sbin/vsftpd Syscall 5 - PID: 24269 PPID: 4289 UID: 0 TIME: 2d-21h PROGRAM NAME: /bin/bash
출력 줄 앞의 대시(-)는 CA ControlMinder이 이 후크로 인해 언로드 문제가 발생할 가능성이 낮다고 평가한다는 것을 의미합니다. 이 명령을 사용할 때 CA ControlMinder은 또한 CA ControlMinder의 언로드가 성공할 가능성이 있는지 여부를 기록하는 감사 로그에 이 줄을 추가합니다. 예를 들어, 다음 감사 레코드는 secons -scl을 실행하고 CA ControlMinder의 언로드를 방해할 가능성이 있는 블로킹 시스템 호출이 하나 이상 있을 때 생성됩니다.
10 Nov 2008 05:47:22 F CHECK root Scan 339 0 SEOS_syscall unload
| Copyright © 2013 CA. All rights reserved. |
|