会员: 密码:  免费注册 | 忘记密码 | 会员登录 网页功能: 加入收藏 设为首页 网站搜索  
安全防线 > 入侵检测
spy-1.1.tgz
发表日期:2006-02-24 10:42:41文件大小:8.18 K 下载次数:5197  

版权所有:
软件版本:1.1
文件大小:8.18 K
操作系统:其他
下载说明: spy是一个FreeBSD内核级系统调用监控模块,可以监视和过滤和记录用户发出的系统调用,并做出相应 的反应。 默认截获如下调用: chdir(2), chmod(2), execve(2), link(2), mkdir(2), mount(2), open(2), rmdir(2), setegid(2), seteuid(2), setgid(2), setpgid(2), setregid(2), setreuid(2), setsid(2), setuid(2), unlink(2) unmount(2) 当调用发生并且符合一定的环境条件是,spy就会把调用信息记录到syslogd中,默认记录在SECURITY 组 INFO级中,所以请注意修改你的/etc/syslog.conf,打开相应的记录开关并重新运行syslogd. spy是一个内核模块,由于自身截获了几乎所有重要的进程相关syscall,所以自身是不可重入的,对 spy进行管理是通过系统的sysctl命令接口,命令格式如下: # sysctl -w kern.spy.add=mount,uid=65534,root,args =============================================================================== 可接受参数: kern.spy.defopt (可读写字符串) 默认监视选项: user,root,args. kern.spy.list (只读字符串) 当前监视的系统调用 kld.spy.dump (只读struct spy_ent{}) kern.spy.list原始信息 kern.spy.add (可读写字符串) 添加一个系统调用到监视列表 kern.spy.del (可读写字符串) 删除一个被监视系统调用 kern.spy.disable (可写字符串) 禁用spy特性 (可能需要重新启动系统) kern.spy.enable (可写字符串) 开启spy特性 可接受选项: 首要选项 user 监视一个root以外的用户进程,按uid确定 root 监视所有属于root的进程 uid=n 监视uid==n 的用户进程 gid=n 监视gid==n 的用户进程 次要选项 args 传递给系统调用的参数信息 other 其他特征信息 =============================================================================== 使用说明: 命令格式为 # sysctl -w kern.spy.(第一参数)=首要选项,次要选项 a.例如,审计系统中uid=65534的用户异常调用mount()的情况: #sysctl -w kern.spy.add=mount,uid=65534,root,args b.审计默认事件,所有用户对列表中的默认调用的使用情况: #sysctl -w kern.spy.defopt=user,root,args,other c.禁用spy setuid监控特性 #sysctl -w kern.spy.disable=setuid,uid=65534,args

立即下载
下载的书籍需要相应的阅读器才能查看,请到如果你的机器上没有相应的阅读器,请到 图书阅读工具 栏目中下载相关的工具。

返回顶部】 【打印本页】 【关闭窗口

关于我们 / 给我留言 / 版权举报 / 意见建议 / 网站编程QQ群   
Copyright ©2003- 2024 Lihuasoft.net webmaster(at)lihuasoft.net 加载时间 0.00299