spy-1.1.tgz提交时间:2003-07-10 提交用户:freedemon 工具分类:入侵检测 运行平台:Unix 工具大小:8374 Bytes 文件MD5 :935f21eb893814c2574bab8147a0a6f0 工具来源:abial@freebsd.org spy是一个FreeBSD内核级系统调用监控模块,可以监视和过滤和记录用户发出的系统调用,并做出相应 的反应。 默认截获如下调用: chdir(2), chmod(2), execve(2), link(2), mkdir(2), mount(2), open(2), rmdir(2), setegid(2), seteuid(2), setgid(2), setpgid(2), setregid(2), setreuid(2), setsid(2), setuid(2), unlink(2) unmount(2) 当调用发生并且符合一定的环境条件是,spy就会把调用信息记录到syslogd中,默认记录在SECURITY 组 INFO级中,所以请注意修改你的/etc/syslog.conf,打开相应的记录开关并重新运行syslogd. spy是一个内核模块,由于自身截获了几乎所有重要的进程相关syscall,所以自身是不可重入的,对 spy进行管理是通过系统的sysctl命令接口,命令格式如下: # sysctl -w kern.spy.add=mount,uid=65534,root,args =============================================================================== 可接受参数: kern.spy.defopt (可读写字符串) 默认监视选项: user,root,args. kern.spy.list (只读字符串) 当前监视的系统调用 kld.spy.dump (只读struct spy_ent{}) kern.spy.list原始信息 kern.spy.add (可读写字符串) 添加一个系统调用到监视列表 kern.spy.del (可读写字符串) 删除一个被监视系统调用 kern.spy.disable (可写字符串) 禁用spy特性 (可能需要重新启动系统) kern.spy.enable (可写字符串) 开启spy特性 可接受选项: 首要选项 user 监视一个root以外的用户进程,按uid确定 root 监视所有属于root的进程 uid=n 监视uid==n 的用户进程 gid=n 监视gid==n 的用户进程 次要选项 args 传递给系统调用的参数信息 other 其他特征信息 =============================================================================== 使用说明: 命令格式为 # sysctl -w kern.spy.(第一参数)=首要选项,次要选项 a.例如,审计系统中uid=65534的用户异常调用mount()的情况: #sysctl -w kern.spy.add=mount,uid=65534,root,args b.审计默认事件,所有用户对列表中的默认调用的使用情况: #sysctl -w kern.spy.defopt=user,root,args,other c.禁用spy setuid监控特性 #sysctl -w kern.spy.disable=setuid,uid=65534,args . >> 下载 << |
