Cet article explique comment mettre sur liste blanche les processus interdits d'appeler des commandes système. La mise sur liste blanche des processus interdits permet d'empêcher l'accès non autorisé aux commandes système sensibles, réduisant ainsi les failles de sécurité et les fuites de données. L'article fournit
Liste blanche des processus interdits d'appeler des commandes système
Comment mettre sur liste blanche les processus interdits d'appeler des commandes système ?
Pour mettre sur liste blanche les processus interdits d'appeler des commandes système, vous pouvez utiliser leauditdpour créer une règle qui permet à des processus spécifiques d'exécuter certaines commandes. Voici comment procéder :auditdtool to create a rule that allows specific processes to execute certain commands. Here's how you can do it:
/etc/audit/rules.d/whitelist.ruleswith the following content:-w /usr/bin/command -p x -c neverIn this rule,/usr/bin/commandis the command that you want to whitelist,-p xspecifies that the rule applies to processes with executable permission, and-c neverspecifies that the rule should never be enforced. You can add multiple rules to the file, each on a separate line.
auditdsystem by running the following command:sudo auditctl -R /etc/audit/rules.d/whitelist.rulesauditd:To ensure that the rules are applied immediately, restartauditdby running:sudo systemctl restart auditdWhat are the benefits of whitelisting forbidden processes?
Whitelisting forbidden processes can help prevent unauthorized access to sensitive system commands. By restricting the ability of certain processes to execute specific commands, you can reduce the risk of security breaches and data leaks.
What are some examples of forbidden processes?
Forbidden processes are typically processes that are not essential for the operation of the system and that could be used to compromise the system if they were allowed to execute certain commands. Examples of forbidden processes include:
How can I audit forbidden processes?
You can audit forbidden processes by using theauditctltool. To do this, run the following command:
sudo auditctl -w /usr/bin/command -p x -c idThis command will create an audit rule that logs all attempts by processes with executable permission to execute the/usr/bin/command
/etc/audit/rules.d/whitelist.rulesavec le contenu suivant :sudo cat /var/log/audit/audit.log | grep /usr/bin/command/usr/bin/commandest la commande que vous souhaitez mettre sur liste blanche,
-p xspécifie que la règle s'applique à processus avec autorisation exécutable, et
-c neverspécifie que la règle ne doit jamais être appliquée. Vous pouvez ajouter plusieurs règles au fichier, chacune sur une ligne distincte.
auditden exécutant la commande suivante :auditd: Pour vous assurer que les règles sont appliquées immédiatement, redémarrezauditden exécutant :auditctl. Pour ce faire, exécutez la commande suivante :rrreeeCette commande créera une règle d'audit qui enregistrera toutes les tentatives des processus dotés de l'autorisation exécutable pour exécuter la commande
/usr/bin/command. Vous pouvez afficher les journaux d'audit en exécutant la commande suivante :rrreee
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Nom des variables en langage C
tutoriel de flexibilité
Quel logiciel est Xiaohongshu ?
403solution interdite
Quels sont les composants d'un système Linux ?
La vitesse de php8.0 est-elle améliorée ?
Comment acheter et vendre du Bitcoin en Chine
Comment résoudre les problèmes lors de l'analyse des packages
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
