seretrust ユーティリティは selang コマンドを生成します。このコマンドは、データベース内で定義されているプログラムおよび保護対象ファイルを再度 trusted 状態にする場合に必要となります。 seretrust ユーティリティは、trusted として定義されている SECFILE リソースおよび PROGRAM リソースが変更された場合にそのステータスをレポートします。 seretrust では、プログラムが変更された場合に Watchdog で対処済みかどうかの確認も行います (つまり、CA ControlMinder データベースでは、これらのプログラムが trusted とマークされたままであることを意味します)。これらのプログラムは、seretrust の出力に追加されます。この際、プログラムの内容またはタイムスタンプが変更されたこと、およびプログラムを再度 trusted 状態にする必要があることも明記されます。
注: UNIX では、setuid プログラムおよび setgid プログラムは、それぞれの i-node 値などの詳細な説明と共にデータベースに格納されています。 バックアップからシステムを復元すると、このプログラムは異なる i-node に格納されます。 CA ControlMinder では、i-node 間の不一致が検出されると、すべての trusted プログラムに untrusted のマークが付けられます。 seretrust ユーティリティは、データベースに定義されている trusted プログラムを検索し、それぞれの i-node 値を更新します。このため、CA ControlMinder の起動時に、trusted プログラムが trusted の状態のまま維持されます。
スイッチを指定しない場合は、untrusted プログラムおよび保護された untrusted ファイルのみが処理されます。
このコマンドの形式は以下のようになります。
seretrust [-a] [-l|-m|-p|-s] path
すべての trusted オブジェクトおよび untrusted オブジェクトを処理します
このユーティリティのヘルプ画面を表示します。
現在のディレクトリのデータベースからプログラムおよびファイルに関する情報を抽出します。
このオプションを省略すると、CA ControlMinder が使用するデータベースが処理されます。
すべてのカーネル モジュールのシグネチャを計算します。 カーネル モジュール レコードのシグネチャ プロパティが無効な場合は、正しいシグネチャに更新されるため、カーネル モジュールは trusted 状態になります。 シグネチャは、Linux カーネル モジュールにのみ使用されます。
PROGRAM クラスのレコードのみを処理します。
SECFILE クラスのレコードのみを処理します。
再度 trusted 状態にする必要があるプログラムおよび保護対象ファイルを検索するための基本パスを指定します。
このユーティリティは、指定したディレクトリおよびすべてのサブディレクトリを処理します。
例: untrusted プログラムおよび保護対象ファイルを再度 trusted に戻す
この例は、seretrust ユーティリティを使用して、プログラムおよび保護対象ファイルを再度 trusted 状態にする方法を示しています。
注: この例は、UNIX でのサンプルのコマンド出力を示していますが、このユーティリティは Windows でも同様に機能します。
プログラムおよび保護対象ファイルを再度 trusted 状態にするには、以下の手順に従います。
seretrust > retrust_script
オプションが指定されていないため、trusted プログラムと保護対象ファイルの両方が処理されます。また、基本パスも未指定であるため、ルート パスが使用されます。
以下の情報が画面に表示されます。
Retrusting PROGRAMs & SPECFILEs, Base path = / Total of 0 entries retrusted. (Class=SECFILE) Total of 16 entities retrusted. (class=PROGRAM)
以下の例は、スクリプト ファイル seretrust が作成する内容を示しています。
chres PROGRAM ("/usr/bin/chgrpmem") trust
chres PROGRAM ("/usr/bin/chie") trust
chres PROGRAM ("/usr/bin/crontab") trust
chres PROGRAM ("/usr/bin/cu") trust
chres PROGRAM ("/usr/bin/ecs") trust
chres PROGRAM ("/usr/bin/newgrp") trust
chres PROGRAM ("/usr/bin/rmquedev") trust
chres PROGRAM ("/usr/bin/rsh") trust
chres PROGRAM ("/usr/bin/sysck") trust
chres PROGRAM ("/usr/bin/uuname") trust
chres PROGRAM ("/usr/lib/methods/showled") trust
chres PROGRAM ("/usr/lib/mh/post") trust
chres PROGRAM ("/usr/lib/mh/slocal") trust
chres PROGRAM ("/usr/lpp/X11/bin/xlock") trust
chres PROGRAM ("/usr/lpp/X11/bin/xterm") trust
chres PROGRAM ("/usr/sbin/chvirprt") trust
selang ‑f retrust_script
|
Copyright © 2013 CA.
All rights reserved.
|
|