この記事では、システム コマンドの呼び出しを禁止されたプロセスをホワイトリストに登録する方法について説明します。禁止されたプロセスをホワイトリストに登録すると、機密システム コマンドへの不正アクセスを防止し、セキュリティ侵害やデータ漏洩を軽減できます。この記事の内容は次のとおりです
システム コマンドの呼び出しから禁止されているプロセスをホワイトリストに登録する
システム コマンドの呼び出しから禁止されているプロセスをホワイトリストに登録する方法
システム コマンドの呼び出しから禁止されているプロセスをホワイトリストに登録するには、 を使用できます。 Auditd
ツールを使用して、特定のプロセスに特定のコマンドの実行を許可するルールを作成します。その方法は次のとおりです:auditd
tool to create a rule that allows specific processes to execute certain commands. Here's how you can do it:
/etc/audit/rules.d/whitelist.rules
with the following content:<code>-w /usr/bin/command -p x -c never</code>
In this rule, /usr/bin/command
is the command that you want to whitelist, -p x
specifies that the rule applies to processes with executable permission, and -c never
specifies that the rule should never be enforced. You can add multiple rules to the file, each on a separate line.
auditd
system by running the following command:<code>sudo auditctl -R /etc/audit/rules.d/whitelist.rules</code>
auditd
: To ensure that the rules are applied immediately, restart auditd
by running:<code>sudo systemctl restart auditd</code>
What are the benefits of whitelisting forbidden processes?
Whitelisting forbidden processes can help prevent unauthorized access to sensitive system commands. By restricting the ability of certain processes to execute specific commands, you can reduce the risk of security breaches and data leaks.
What are some examples of forbidden processes?
Forbidden processes are typically processes that are not essential for the operation of the system and that could be used to compromise the system if they were allowed to execute certain commands. Examples of forbidden processes include:
How can I audit forbidden processes?
You can audit forbidden processes by using the auditctl
tool. To do this, run the following command:
<code>sudo auditctl -w /usr/bin/command -p x -c id</code>
This command will create an audit rule that logs all attempts by processes with executable permission to execute the /usr/bin/command
/etc/audit/rules.d/whitelist.rules
というファイルを作成します。<code>sudo cat /var/log/audit/audit.log | grep /usr/bin/command</code>
/usr/bin/command
はホワイトリストに登録するコマンドです。-p x
はルールが適用されるコマンドを指定します。 -cnever
は、ルールを決して強制しないことを指定します。複数のルールをファイルに追加し、それぞれを別の行に追加できます。🎜auditd
システムにロードします。次のコマンド:auditd
を再起動します:🎜 ルールがすぐに適用されることを確認するには、auditd を再起動します。
を実行して:auditctl
ツールを使用して、禁止されたプロセスを監査できます。これを行うには、次のコマンドを実行します。🎜rrreee🎜 このコマンドは、/usr/bin/command
コマンドを実行する実行権限を持つプロセスによるすべての試行をログに記録する監査ルールを作成します。次のコマンドを実行すると、監査ログを表示できます:🎜rrreee以上がホワイトリストにより、プロセスによるシステム コマンドの呼び出しが禁止されますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。