In diesem Artikel wird erläutert, wie Sie verbotene Prozesse für den Aufruf von Systembefehlen auf die Whitelist setzen. Durch das Whitelisting verbotener Prozesse wird der unbefugte Zugriff auf sensible Systembefehle verhindert und so Sicherheitsverletzungen und Datenlecks reduziert. Der Artikel bietet
Verbotene Prozesse beim Aufrufen von Systembefehlen auf die Whitelist setzen
Wie kann man verbotene Prozesse beim Aufrufen von Systembefehlen auf die Whitelist setzen?
Um verbotene Prozesse beim Aufrufen von Systembefehlen auf die Whitelist zu setzen, können Sie denverwenden auditd-Tool zum Erstellen einer Regel, die es bestimmten Prozessen ermöglicht, bestimmte Befehle auszuführen. So können Sie es machen:auditdtool to create a rule that allows specific processes to execute certain commands. Here's how you can do it:
/etc/audit/rules.d/whitelist.ruleswith the following content:-w /usr/bin/command -p x -c neverIn this rule,/usr/bin/commandis the command that you want to whitelist,-p xspecifies that the rule applies to processes with executable permission, and-c neverspecifies that the rule should never be enforced. You can add multiple rules to the file, each on a separate line.
auditdsystem by running the following command:sudo auditctl -R /etc/audit/rules.d/whitelist.rulesauditd:To ensure that the rules are applied immediately, restartauditdby running:sudo systemctl restart auditdWhat are the benefits of whitelisting forbidden processes?
Whitelisting forbidden processes can help prevent unauthorized access to sensitive system commands. By restricting the ability of certain processes to execute specific commands, you can reduce the risk of security breaches and data leaks.
What are some examples of forbidden processes?
Forbidden processes are typically processes that are not essential for the operation of the system and that could be used to compromise the system if they were allowed to execute certain commands. Examples of forbidden processes include:
How can I audit forbidden processes?
You can audit forbidden processes by using theauditctltool. To do this, run the following command:
sudo auditctl -w /usr/bin/command -p x -c idThis command will create an audit rule that logs all attempts by processes with executable permission to execute the/usr/bin/command
/etc/audit/rules.d/whitelist.rulesmit folgendem Inhalt:sudo cat /var/log/audit/audit.log | grep /usr/bin/command/usr/bin/commandder Befehl, den Sie auf die Whitelist setzen möchten,
-p xgibt an, für welchen die Regel gilt Prozesse mit ausführbarer Berechtigung, und
-c nevergibt an, dass die Regel niemals erzwungen werden soll. Sie können der Datei mehrere Regeln hinzufügen, jede in einer separaten Zeile.
auditd-System den folgenden Befehl:auditd: Um sicherzustellen, dass die Regeln sofort angewendet werden, starten Sieauditd neudurch Ausführen von:auditctlverwenden. Führen Sie dazu den folgenden Befehl aus:rrreeeDieser Befehl erstellt eine Prüfregel, die alle Versuche von Prozessen mit ausführbarer Berechtigung protokolliert, den Befehl
/usr/bin/commandauszuführen. Sie können die Überwachungsprotokolle anzeigen, indem Sie den folgenden Befehl ausführen:rrreee
Das obige ist der detaillierte Inhalt vonWhitelist verhindert, dass Prozesse Systembefehle aufrufen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Was bedeutet XML-Format?
So konvertieren Sie NEF in das JPG-Format
Du schirmst den Fahrer ab
Was tun, wenn der Windows-Fotobetrachter nicht mehr über genügend Speicher verfügt?
was ist h5
Der Ordner wird zur Exe
So importieren Sie ein altes Telefon von einem Huawei-Mobiltelefon in ein neues Telefon
So vergrößern Sie den Webstorm
