[ CA ControlMinder agent tunning ]
(1) Naming resolution 방식의 최적화 (under_NIS_server/use_lookaside = yes)
: "seini -s seosd.under_NIS_server yes"
: "SEOS_PATH/bin/sebuildla -a"
(2) Cache_enabled (파일 감시 방식 최적화)
: "seini -s SEOS_syscall.cache_enabled 1" (파일명 resolution 방식을 커널 캐쉬 레벨로 전환)
: "seini -s SEOS_syscall.proc_bypass 513" (/proc 아래에 저장되는 프로세스 이미지에 대한 감시 제거)
: "2047" - means all operations
: 0 (everything allowed), 1 (read), 2 (write), 4 (chown), 8 (chmod), 16 (rename)
: 32 (unlink), 64 (utimes), 128 (chattr), 256 (link), 512 (chdir), 1024 (create)
: "seini -s SEOS_syscall.bypass_NFS 1" (NFS 파일시스템 감시 제거)
: "seini -s SEOS_syscall.bypass_realpath 1", '0'으로 리셋할려면 커멘트 처리(;)를 하지말고
명시적으로 '0'을 셋팅해야함.
: "seini -s seosd.UseFileCache yes" (파일 룰에 대한 캐쉬 활성화)
FileCache_files = 20(200)
FileCache_users = 50
FileCache_auths = 80(800)
: 특정 파일에 대한 접근이 빈번한 경우 사용 (GAC)
: "SEOS_PATH/etc/GAC.init 에 등록
: 예)
: eTrust > er file /samples/* defacc(all)
: echo "/samples/*" >> SEOS_PATH/etc/GAC.init
: seos start
(3) process bypass rule (프로세스 감시 방식 최적화[seosd])
: bypass_surrogate_progs = SEOS_PATH/etc/bypass_surrogate (SUID 감시 완화)
: SEOS_PATH/etc/bypass_surrogate 파일에 '/sbin/ps' 파일 지정
(4) network bypass rule (네트워크 감시 방식 최적화)
: bypass_TCPIP = 1521 (포트 감시 제거)
: 감시 제거할 포트 지정
: Network Cache 사용
: "seini -s seosd.UseNetworkCache yes"
: "seini -s seosd.network_cache_timeout 10" # cache table cleaning interval (minutes)
(5) 데몬 유지활동의 최적화 (seoswd)
: PgmTestTime = 22:00 (SUID 프로그램 스캔을 비업무 시간으로 전환)
: PgmTestInterval = 86400 (SUID 프로그램 스캔 인터벌을 24시간으로 전환)
: SecFileTestTime 및 SecFileTestInterval (SECFILE 스캔 및 인터벌 전환)
: SeosAYT = 120 (eTrust 데몬간의 통신 인터벌을 2분으로 전환)
(6) SPECIALPGM 등록 사용 (파일, 네트워크 등 바이패스 지정)
: AC> er specialpgm /usr/bin/netstat pgmtype(PBN PBF)
: PBN - Network Checking 바이패스
: PBF - Files Checking 바이패스
: STOP - STOP Checking 바이패스
: BACKUP - Backup Program 바이패스
: DCM - Full Bypass
: REGISTRY - Registry Checking 바이패스 (Windows only)
: MAIL - Mail Program 바이패스 (Unix only)
: XDM - XDM Program 바이패스 (Unix only)
(7) Database corruption Verification
: seos start
: SEOS_PATH/lbin/sedbpchk.sh 실행 또는
: cp SEOS_PATH/seosdb/* SEOS_PATH/tmp
: cd SEOS_PATH/tmp
: SEOS_PATH/bin/dbmgr -u -close
: SEOS_PATH/bin/dbmgr -u -check (-fast plus consistency check for all index files)
: SEOS_PATH/bin/dbmgr -u -build all # eTrust databases should be rebuilt
: seos shutdown
: cd SEOS_PATH/seosdb
: "SEOS_PATH/bin/dbutil -check"
(8) selogrd debug
- SEOS_PATH/bin/selogrd -d
(9) pmd debug
- SEOS_PATH/bin/sepmd -k <pmd>
- cd SEOS_PATH/policies/<pmd>
- echo 1 > pmd_debug_level
- SEOS_PATH/bin/sepmd -c <pmd>
- SEOS_PATH/bin/sepmd -cl <pmd>
: review the following logs
: logs : sepmd -e <pmd>, pmd_log, pmd_debug
(10) cache size change on windows
- HKEY_LOCAL_MACHINE\Software\ComputerAssociates\eTrustAccessControl\FsiDrv\KernelCacheSize
: default size = 200, (0) disables the cache tool
- HKEY_LOCAL_MACHINE\Software\ComputerAssociates\eTrustAccessControl\SeOSWD
: ProgramTestInterval : 18000(5시간) -> 86400(24시간)
: SecfileTestInterval : 18000(5시간) -> 86400(24시간)
: UseStop : 1(enabled) -> 0(disabled)
(11) 서버보안 드라이버를 disable하기 위해 다음 Registry를 수동으로 등록해 설정 (on Windows)
- NetworkDispatchLevelAccess 정의 : Windows의 IRQL(Interrupt Request Level)에서 차단된 네트워크 이벤트의 발송 중 드라이버 응답 허용
. HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\FsiDrv\NetworkDispatchLevelAccess, type=DWORD, value=1
- DisableNetowrkInterception : Network Interception을 위한 드라이버로써 Troubleshooting 목적으로 비활성화 후 재연여부 확인
. HKLM\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableNetworkInterception, type=DWORD, value=1
- cainstrm 비 활성화 : 윈 서비스를 통제하기위해 사용되는 모듈이나, 미사용 드라이버로써 비활성화를 권고
. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cainstrm\Start, type=DWORD, value=4
. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cainstrm\Parameters\OperationMode, type=DWORD, value=0
No comments:
Post a Comment