在 Linux 上有效
eacpg_gen 也称为策略生成器。 此菜单驱动的实用程序提供了一种为 CA ControlMinder 应用程序定义策略的快捷方法。 策略生成器可在不具有任何 CA ControlMinder 规则的测试系统上使用。 其目的是通过对那些重要的电子资产应用最佳安全操作,保护企业应用程序和(或)操作系统及其机密数据。
使用“default-deny”模式创建应用程序单元。 这些策略类似于 UNIX chroot() jail 的概念。 为面向 Internet 的应用程序生成此类策略时,使用该应用程序对主机的安全所造成的风险可大大降低。
应用程序单元是阻止应用程序的 Access Control 列表 (ACL) 规则。 对于每个应用程序,eacpg_gen 均可生成许多应用程序单元。 应用程序单元只强制访问特定资源。 受单元策略保护的任何进程在策略中都不能访问没有明确为该进程授予访问权限的资源。 这样就阻止了可能的攻击者向未经授权的磁盘区域中写入信息,或执行未经授权的二进制文件。
注意:请确认在运行此实用程序之前,数据库中存在 secadmin 和 组 secadmin。
策略生成包括几个关键步骤:
此命令格式如下:
eacpg_gen \
[-u user] \ [-g group] \ [-p path] \ [-o owner] \ [-w wheel] \ [-m machine] \ [-a] \ [-s file] \ [-# step] \ [-x]
指定运行该进程的用户。
指定将拥有该进程的组名。
指定程序的完整路径。
指定策略所有者。
设置为“secadmins”组(建议)。
指定计算机名称。
设置是否应用生成的规则。
指定存储策略规则的完整路径和文件名。
应设置为 2。
在警告模式与失败模式之间切换。
示例:运行策略生成器
eacpg_gen
/work/WebServers/apache_1.3.26/bin/htppd
(应用程序检查)。 策略生成器开始在要为其创建策略的进程中收集数据。
./apachectl start
./apachectl stop
注意:此时您已经启动了应用程序,然后又将其停止。 最好重新启动它并允许收集正常使用情况的数据。 您可以让该检查运行任意长的时间;运行时间越长,策略生成器收集的数据越多,生成的策略越准确。 当认为已收集到足够的数据时,请继续下一步。
下面的示例屏幕显示了对一个名为 evil.html 的文件进行的策略测试。
Linux:/srv/www/htdocs: #telnet localhost 80 Trying ::1... telnet: connect to address ::1: Connection refused Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. GET /evil.html <!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”> <HTML><HEAD> <TITLE>403 Forbidden</TITLE> <HEAD><BODY> <H1>Forbidden</H1> You don't have permission to access /evil.html on the server. <P> <HR> <ADDRESS>Apache/1.3.26 Server at linux.local Port 80</ADDRESS> </BODY></HTML> Connection closed by foreign host. Linux:/srv/www/htdocs# []
由于该策略已应用,因此不能再使用文件 evil.html。 原因是它超出了正常使用情况的配置范围。
|
版权所有 © 2013 CA。
保留所有权利。
|
|