端点管理指南：用于 UNIX › 提高性能 › 使用全局访问检查 › GAC 约束

GAC 约束

GAC 实施已经证明非常有效，尤其是在瞬间访问数百个文件的情况下，但它却有以下约束：

• 默认情况下，GAC 规则不适用于 root 用户（通常为 ADMIN）。 要使该规则适用于 root 用户，请设置 seos.ini 文件 [SEOS_syscall] 部分中的以下标记：

  GAC_root=1
  

  该标记的默认值为 0。 要还原默认值，请将该标记设置为 0 或删除该标记。

• 您不得在表中包括有条件保护的文件规则（例如日期或时间限制、程序通路等）。 如果您确实需要在 GAC.init 文件中指定此类文件规则，则将不再适用日期或时间限制以及其他限制。
• GAC.init 文件中不得包括具有 audit(ALL) 或 audit(success) 属性的文件规则。 如果在 GAC.init 文件中指定了此类文件规则，则不会记录对成功访问进行的审核。
• 筛选进程使用真正的（当前的）UID（即，与执行时的进程关联的 UID）。 这给原始 UID（用户最初用于登录的 UID）和非当前 UID 的 CA ControlMinder 跟踪带来了漏洞。 （UID 使用的 CA ControlMinder 实施跟踪可提供更具责任的安全保护。）

  让我们来看一个别人可能怎样试图利用该漏洞的示例。 用户 Tony 未被授权访问文件 Accounts/tmp。 因此，Tony 代替（通过 /bin/su）被授权访问 Accounts/tmp 的用户 Sandra。 如果 Sandra 已经访问了 Accounts/tmp 文件，则该文件会以她的 UID 出现在“无需调用”表中。 之后，通过使用 Sandra 的 UID 允许 Tony 访问该文件。 这是因为内核代码并不保存 UID 的历史记录。

  但是，如果 Sandra 以前没有访问过该文件，则将使用 seosd 定期检查访问权限，然后拒绝 Tony 访问该文件。 要关闭该漏洞，ADMIN 用户必须保护数据库中的 SURROGATE 对象。 在本示例中，ADMIN 可以向数据库中添加以下规则：

  newres SURROGATE USER.Sandra default(N) owner(nobody)
  

  该命令确保 Tony 无法使用 su 命令来获得 Sandra 的访问权限。

• 如果访问者是 root 用户，则缓存系统没有任何影响。 原因是如果不查询数据库，就不会向 root 用户授予任何访问权限。