seretrust 实用程序可生成重新托管在数据库中定义的程序和安全文件所需的 selang 命令。 seretrust 实用程序报告定义为可信任、但已经更改的 SECFILE 和 PROGRAM 资源的状态。 seretrust 也检查程序是否已经更改但尚未被 Watchdog 捕获。 (这意味着在 CA ControlMinder 数据库中,这些程序仍标记为受托。)这些程序已添加到 seretrust 输出,带有注释表明程序内容或时间戳已经改变,程序需要重新托管。
注意:在 UNIX 上,具有 setuid 和 setgid 位的程序与它们的完整说明(包括其 inode 值)一起存储在数据库中。 如果从备份中还原系统,则程序会占用不同的 inode。 CA ControlMinder 检测到 inode 之间的不匹配,会将所有受托程序标记为取消受托。 seretrust 实用程序可查找在数据库中定义的受托程序并更新它们的 inode 值,这样,当您调用 CA ControlMinder 时,受托程序可保持受托状态。
如果不指定任何必选项,则只处理不可信任的程序和不可信任的安全文件。
此命令格式如下:
seretrust [-a] [-l|-m|-p|-s] path
处理所有受托和未受托的对象。
显示该实用程序的帮助。
从当前目录的数据库中提取有关程序和文件的信息。
如果忽略此选项,seretrust 将处理 CA ControlMinder 所使用的数据库。
计算所有内核模块的签名。 如果内核模块记录的签名属性无效,则 seretrust 将使用正确的签名进行更新,这可以确保该内核模块受托。 签名仅用于 Linux 内核模块。
只处理 PROGRAM 类中的记录。
只处理 SECFILE 类中的记录。
指定用于搜索需重新托管的程序和安全文件的基路径。
该实用程序将处理指定的目录和所有子目录。
示例:重新托管取消受托的程序和安全文件
此示例展示了如何使用 seretrust 实用程序重新托管程序和安全文件。
注意:此示例展示了 UNIX 上的示例命令输出,但该实用程序在 Windows 上的工作原理与此相同。
要重新托管程序和安全文件,请按照以下步骤操作:
seretrust > retrust_script
因为未指定任何选项,所以该实用程序既要处理受托程序又要处理安全文件;由于未指定任何基路径,所以还会使用 root 路径。
seretrust 将在屏幕上显示以下信息:
Retrusting PROGRAMs & SPECFILEs, Base path = / Total of 0 entries retrusted. (Class=SECFILE) Total of 16 entities retrusted. (class=PROGRAM)
以下是脚本文件 seretrust 可以创建的内容:
chres PROGRAM ("/usr/bin/chgrpmem") trust
chres PROGRAM ("/usr/bin/chie") trust
chres PROGRAM ("/usr/bin/crontab") trust
chres PROGRAM ("/usr/bin/cu") trust
chres PROGRAM ("/usr/bin/ecs") trust
chres PROGRAM ("/usr/bin/newgrp") trust
chres PROGRAM ("/usr/bin/rmquedev") trust
chres PROGRAM ("/usr/bin/rsh") trust
chres PROGRAM ("/usr/bin/sysck") trust
chres PROGRAM ("/usr/bin/uuname") trust
chres PROGRAM ("/usr/lib/methods/showled") trust
chres PROGRAM ("/usr/lib/mh/post") trust
chres PROGRAM ("/usr/lib/mh/slocal") trust
chres PROGRAM ("/usr/lpp/X11/bin/xlock") trust
chres PROGRAM ("/usr/lpp/X11/bin/xterm") trust
chres PROGRAM ("/usr/sbin/chvirprt") trust
selang ‑f retrust_script
|
版权所有 © 2013 CA。
保留所有权利。
|
|