|
版权所有:
软件版本:1.1
文件大小:8.18 K
操作系统:其他
下载说明:
spy是一个FreeBSD内核级系统调用监控模块,可以监视和过滤和记录用户发出的系统调用,并做出相应
的反应。
默认截获如下调用:
chdir(2), chmod(2), execve(2), link(2), mkdir(2), mount(2),
open(2), rmdir(2), setegid(2), seteuid(2), setgid(2),
setpgid(2), setregid(2), setreuid(2), setsid(2), setuid(2),
unlink(2) unmount(2)
当调用发生并且符合一定的环境条件是,spy就会把调用信息记录到syslogd中,默认记录在SECURITY
组 INFO级中,所以请注意修改你的/etc/syslog.conf,打开相应的记录开关并重新运行syslogd.
spy是一个内核模块,由于自身截获了几乎所有重要的进程相关syscall,所以自身是不可重入的,对
spy进行管理是通过系统的sysctl命令接口,命令格式如下:
# sysctl -w kern.spy.add=mount,uid=65534,root,args
===============================================================================
可接受参数:
kern.spy.defopt (可读写字符串) 默认监视选项: user,root,args.
kern.spy.list (只读字符串) 当前监视的系统调用
kld.spy.dump (只读struct spy_ent{}) kern.spy.list原始信息
kern.spy.add (可读写字符串) 添加一个系统调用到监视列表
kern.spy.del (可读写字符串) 删除一个被监视系统调用
kern.spy.disable (可写字符串) 禁用spy特性 (可能需要重新启动系统)
kern.spy.enable (可写字符串) 开启spy特性
可接受选项:
首要选项
user 监视一个root以外的用户进程,按uid确定
root 监视所有属于root的进程
uid=n 监视uid==n 的用户进程
gid=n 监视gid==n 的用户进程
次要选项
args 传递给系统调用的参数信息
other 其他特征信息
===============================================================================
使用说明:
命令格式为 # sysctl -w kern.spy.(第一参数)=首要选项,次要选项
a.例如,审计系统中uid=65534的用户异常调用mount()的情况:
#sysctl -w kern.spy.add=mount,uid=65534,root,args
b.审计默认事件,所有用户对列表中的默认调用的使用情况:
#sysctl -w kern.spy.defopt=user,root,args,other
c.禁用spy setuid监控特性
#sysctl -w kern.spy.disable=setuid,uid=65534,args
【立即下载】
下载的书籍需要相应的阅读器才能查看,请到如果你的机器上没有相应的阅读器,请到 图书阅读工具 栏目中下载相关的工具。
|
