Rumah >masalah biasa >Senarai putih melarang proses daripada memanggil arahan sistem
Artikel ini membincangkan cara menyenarai putih proses terlarang daripada memanggil arahan sistem. Proses terlarang menyenarai putih membantu menghalang akses tanpa kebenaran kepada perintah sistem yang sensitif, mengurangkan pelanggaran keselamatan dan kebocoran data. Artikel tersebut menyediakan
Proses Larangan Senarai Putih daripada Arahan Sistem Memanggil
Bagaimanakah untuk menyenarai putihkan proses yang dilarang daripada memanggil arahan sistem?
Untuk memanggil proses yang dilarang untuk menyenarai putih auditd
tool to create a rule that allows specific processes to execute certain commands. Here's how you can do it:
/etc/audit/rules.d/whitelist.rules
with the following content:<code>-w /usr/bin/command -p x -c never</code>
In this rule, /usr/bin/command
is the command that you want to whitelist, -p x
specifies that the rule applies to processes with executable permission, and -c never
specifies that the rule should never be enforced. You can add multiple rules to the file, each on a separate line.
auditd
system by running the following command:<code>sudo auditctl -R /etc/audit/rules.d/whitelist.rules</code>
auditd
: To ensure that the rules are applied immediately, restart auditd
by running:<code>sudo systemctl restart auditd</code>
What are the benefits of whitelisting forbidden processes?
Whitelisting forbidden processes can help prevent unauthorized access to sensitive system commands. By restricting the ability of certain processes to execute specific commands, you can reduce the risk of security breaches and data leaks.
What are some examples of forbidden processes?
Forbidden processes are typically processes that are not essential for the operation of the system and that could be used to compromise the system if they were allowed to execute certain commands. Examples of forbidden processes include:
How can I audit forbidden processes?
You can audit forbidden processes by using the auditctl
tool. To do this, run the following command:
<code>sudo auditctl -w /usr/bin/command -p x -c id</code>
This command will create an audit rule that logs all attempts by processes with executable permission to execute the /usr/bin/command
/etc/audit/rules.d/whitelist.rules
dengan kandungan berikut:<code>sudo cat /var/log/audit/audit.log | grep /usr/bin/command</code>🎜Dalam peraturan ini,
/usr/bin/command
ialah perintah yang ingin anda senaraikan putih, -p x
menentukan bahawa peraturan itu digunakan untuk proses dengan kebenaran boleh laku dan -c never
menyatakan bahawa peraturan itu tidak boleh dikuatkuasakan. Anda boleh menambah berbilang peraturan pada fail, setiap satu pada baris yang berasingan.🎜auditd
dengan menjalankan arahan berikut:auditd
:🎜 Untuk memastikan peraturan digunakan serta-merta, mulakan semula auditd
dengan menjalankan:auditctl
. Untuk melakukan ini, jalankan arahan berikut:🎜rrreee🎜Arahan ini akan mencipta peraturan audit yang merekodkan semua percubaan oleh proses dengan kebenaran boleh laku untuk melaksanakan perintah /usr/bin/command
. Anda boleh melihat log audit dengan menjalankan arahan berikut:🎜rrreeeAtas ialah kandungan terperinci Senarai putih melarang proses daripada memanggil arahan sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!