Watchdog 機能は、指定したファイル以外に setuid/setgid プログラムのバイナリを保護することができます。 seoswd ユーティリティ(Watchdog デーモン)は、以下の 2 点を継続的にチェックしています。
seosd デーモンが fork で複製されるたびに、seoswd プログラムが自動的に実行され、Watchdog 機能が開始されます。
注: seoswd の詳細については、「リファレンス ガイド」を参照してください。
seos.ini ファイルには、Watchdog 機能のスキャン操作とタイムアウトの値を制御する複数のトークンがあります。 また、このファイルには、これらの値に関する最新のドキュメントも含まれています。
注: seos.ini ファイルの詳細については、「リファレンス ガイド」を参照してください。
Watchdog 機能を使用すると、setuid プログラムおよび setgid プログラムに対して行う内容と同じバックグラウンド チェックを通常のファイルに対して実行できます。このチェックには、ファイルが変更された際の監査レコードの生成も含まれます。
たとえば、セキュリティ管理者のみが /etc/inittab ファイルの変更を許可される環境設定を考えてみましょう。 CA ControlMinder でファイルを監視し、変更があった場合に警告が生成されるようにするには、以下の selang コマンドを使用します。
newres SECFILE /etc/inittab
これで、/etc/inittab ファイルへの変更が継続的に監視されます。
|
Copyright © 2013 CA.
All rights reserved.
|
|