在 [SEOS_syscall] 部分中,SEOS_syscall 内核模块使用此标记。
确定是否跳过 SEOS 事件的 NFS 文件。
有效值包括:
0-不跳过 NFS 文件。
1-跳过 NFS 文件。
默认值:0
指定是否跳过实际文件路径解析而进行授权。
如果启用此设置 (1),CA ControlMinder 将不解析文件路径而进行授权。 这加快文件事件的处理。 然而,不针对使用链接实现的文件访问实施常规规则。
示例:如果启用此设置并且用户从链接访问 /realpath/files/* 目录中的文件,则对于此目录将不考虑拒绝访问规则。 也创建链接的常规规则 (/alternatepath/*)。
默认值:0
确定是否使用缓存进行完整路径解析,以确定文件的访问权限。
有效值包括:
0-不缓存。
1-使用缓存。
默认值:0
确定针对完整路径解析而启用缓存时使用的缓存比率。
值越大,表示缓存越好。
默认值:10000
确定是否在 CA ControlMinder 启动后从 seload 命令调用 tripAccept,如果调用 tripAccept,则定义以逗号分隔的 TCP/IP 端口列表,tripAccept 将连接到这些端口并唤醒端口侦听器。
有效值为任意 TCP/IP 端口号,以及:
0-不从 seload 调用 tripAccept。
限制:0-64000
默认值:0
确定是否将 T_CONN_RES 数据流消息视为 UnixWare 上 fiwput 例程中的高优先级消息。
有效值为:
1-将 T_CONN_RES 数据流消息作为 fiwput 例程中的高优先级消息进行处理。
0-将 T_CONN_RES 数据流消息作为 fiwput 例程中的低优先级消息进行处理。
默认值:0(UnixWare 上应为 1)
确定 CA ControlMinder 正在运行的同时是否允许任何程序的调试。
有效值包括:
0-允许调试。
1-不允许调试。
默认值:1
确定 SEOS 后台进程的派生是否可以注册 SEOS 服务。
有效值包括:
0-任何程序都可以注册 SEOS 服务。
1-只有后代可以注册 SEOS 服务。
默认值:0
指定 CA ControlMinder 内核是否识别脚本执行。
有效值包括:
0-CA ControlMinder 内核不识别脚本执行。
1-CA ControlMinder 内核识别脚本执行。
默认值:0
注意:如果 SAM 代理安装在端点上,默认值为 1。 启用此标记后,SAM 代理无需将 shell 脚本定义为 PROGRAM 资源,即可识别使用 SAM 代理文件 (acpwd) 的已命名 shell 脚本。
指出 CA ControlMinder 是否检查未在数据库中定义的文件的文件访问权限。 默认情况下,CA ControlMinder 不检查未在数据库中定义的文件。
有效值包括:
-1-不检查任何文件。
0-检查所有文件。
默认值:-1
定义设备保护表中设备的最大数目。
默认值:0 - CA ControlMinder 不保护系统设备。
注意:我们建议您指定最小的 20 个系统设备。
确定当用户为 root 时是否对文件使用 GAC 缓存。 默认情况下,用户为 root 时不使用 GAC。
有效值包括:
0-不为 root 用户使用缓存。
1-为 root 用户使用缓存。
默认值:0
确定与 HP‑UX 上的 SEOS_syscall 通讯的默认 syscall 编号。
有效值包括 sysent 中所有未使用的 syscall 条目编号。
默认值:254
定义要保护的信号。
有效值包括 OR(包括)我们所希望 SEOS 事件的所有信号的掩码。
默认值:SIGKILL、SIGSTOP 或 SIGTERM 事件。 实际值根据平台不同而有所差异:
确定是否将保护符号链接。
有效值包括:
0-不保护链接。
1-保护链接。
默认值:0
确定与 LINUX 上的 SEOS_syscall 通讯的默认 syscall 编号。
定义数据库中允许的最大常规文件规则数。
注意:如果使用非常大的值,则可能会导致不同平台上出现异常行为。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
有效值包括任何大于 (<) 511 的数。
注意:只有 AIX、HP、Linux 和 Solaris 支持此标记。
默认值:512
定义数据库中允许的最大文件规则数。
注意:如果使用非常大的值,则可能会导致不同平台上出现异常行为。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
有效值包括任何大于 (<) 4095 的数。
注意:只有 AIX、HP、Linux 和 Solaris 支持此标记。
默认值:4096
确定是否允许挂接和取消挂接由 CA ControlMinder 使用的目录。
有效值包括:
0-允许挂接。
1-不允许挂接。
默认值:1
确定在文件属于过程文件系统 (/proc) 时是否检查文件访问。 有效值包括:
0-忽略标记
1-跳过文件访问检查
默认值:1
指定要使用的网络拦截类型。
注意:您也必须设置 SEOS_use_streams = yes
有效值为:
0-TCP hook
1-数据流
默认值:1
重要说明! 请勿自行修改此标记。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
指定 CA ControlMinder 是否挂接到运行的 STREAMS。
如果更改此设置,则需要重新启动已侦听网络的后台进程,以使 CA ControlMinder 保护这些后台进程。
注意:此设置仅适用于 Solaris 9 或更早版本。
默认值:yes
确定是否可以卸载 SEOS_syscall 内核模块。
有效值包括:
0-不允许卸载。
1-允许卸载。
默认值:1
指定 CA ControlMinder 内核模块的通讯方式(ioctl 或系统调用)。
当操作系统正在使用所有可用的系统调用号时,可以使用 ioctl 通讯方式。
值:0-系统调用 1-ioctl
默认值:0
重要说明! 请勿自行修改此标记。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
指定是否使用数据流子系统进行网络拦截(SEOS_load 是否自动将模块推入数据流)。
此设置仅可用于 HP-UX 和 Sun Solaris 版本 8 和 9。
默认值:no
定义维护用户的用户 ID。 在安全保护关闭且 silent_deny 为“yes”时允许此用户的活动。 使用用户的数字 UNIX UID 定义维护用户。
默认值:0(root 的用户 ID)
确定在关闭安全保护时是否拒绝所有事件。
有效值包括:
yes-启用静默拒绝(维护模式)。
no-禁用静默拒绝。
默认值:no
指定 stat 系统调用发生时是否检查文件访问权限。
如果您指定 1(检查文件访问),CA ControlMinder 则不允许没有读取权限的用户执行以下操作,获取在审核日志中读取的文件和记录的信息。 如果将此标记设置为 0,则任何用户均可获取文件信息。
值:0(不检查文件访问),1(检查文件访问).
默认值:0
确定是否使用 STOP 功能从而防止堆栈溢出攻击。
有效值包括:
0-关。
1-开。
默认值:0
确定如何管理再生同步。
在 HP-UX 平台上
1-父项报告再生
2-子项报告再生
在其他平台上
1-父项只进行报告而不进行同步
2-父项既进行报告又进行同步(在 Linux 上不受支持)
限制:任何小于 1 的值都被解析为 1。 任何大于 1 的值都被解析为 2。
注意:不要修改此设置,因为这样可能会导致不同平台上出现异常行为。 要获得帮助,请通过 http://ca.com/worldwide 与技术支持联系。
默认值:1
指定 CA ControlMinder 是否监控正在执行 CA ControlMinder 代码的过程。 如果启用(默认),您可以使用 secons -sc 或 secons -scl 查看这些过程。
有效值为:
0-不活动
1-活动
默认值:1
定义截获的系统调用在被认为存在风险之前可被阻止的时间(秒)。 如果一个进程被阻止的时间长于此时间,CA ControlMinder 将报告 SEOS_syscall 模块卸载可能失败。
注意:此值将影响 CA ControlMinder 提供的卸载准备情况报告。 有关详细信息,请参阅《企业管理指南》。
默认值:60
确定是否使用 SEOS_syscall 循环跟踪缓冲区。
有效值包括:
0-不使用跟踪。
1-使用跟踪。
默认值:0
确定在卸载 SEOS_syscall 时是否使用 tripAccept 实用程序唤醒受阻的接受系统调用。 这将避免在卸载模块后运行 SEOS_syscall 代码。
有效值包括 yes 和 no。
默认值:yes
|
版权所有 © 2013 CA。
保留所有权利。
|
|