Befehl "sedmgr"

Online bearbeiten

Zweck

Zeigt das SED-Flag (Stack Execution Disable) des Systems oder von ausführbaren Dateien an und legt es fest.

Syntax

sedmgr [-m {off | all | select | setidfiles}] [-o {on | off}] [-c {system | request | exempt} {Dateiname | Dateigruppe}] [-d {Dateiname | Verzeichnisname}] [-h]

Beschreibung

Der Befehl sedmgr ist der Manager der SED-Funktion (Stack Execution Disable). Sie können mit dem Befehl auch die Stackausführung im System aktivieren und den Ausführungsgrad steuern. Außerdem können Sie diesen Befehl verwenden, um die verschiedenen Flags in einer ausführbaren Datei zu setzen, die SED steuern. Änderungen an der systemweiten Moduseinstellung werden erst nach einem Warmstart des Systems wirksam.

Die systemweite Einstellung kann nur vom Rootbenutzer geändert werden. Andere Festlegungs- und Zurücksetzungsoptionen für einzelne ausführbare Dateien sind nur dann erfolgreich, wenn der Benutzer Schreibberechtigungen für die Datei besitzt. Die SED-Funktion ist nur in den AIX® 64-Bit-Kernel-Betriebssystemen verfügbar.

Wenn der Befehl sedmgr ohne Parameter aufgerufen wird, zeigt er die aktuelle Einstellung in Bezug auf die Umgebung zum Inaktivieren der Stackausführung an.

Weitere Informationen finden Sie im Abschnitt Stack Execution Disable Protection unter Login control in der Security.

Flags

Element Beschreibung
-c Legt die SED-Flags "request" und "exempt" im Header einer ausführbaren Datei fest oder setzt sie zurück. Setzt außerdem das SED-Prüfflag für "request" und "exempt" in den Headern aller ausführbaren Dateien in einer Dateigruppe. Diese Option setzt Schreibberechtigung für die Datei voraus bzw. Rootberechtigung, falls eine Dateigruppe angegeben ist. Die möglichen Werte sind im Folgenden beschrieben:
System
Wenn die ausführbare Datei das Flag "system" im Header enthält, legt das Betriebssystem die Operation für den Prozess basierend auf den systemweiten SED-Flags fest. Wenn in der Datei keine Flags angegeben sind, legt das Betriebssystem die Operation für den Prozess basierend auf den systemweiten SED-Flags fest.
exempt
Legt ein Flag im Header der ausführbaren Datei fest, das angibt, dass diese Datei eine Stack/Header-basierte Ausführung durchgeführt und deshalb vom SED-Mechanismus ausgeschlossen werden muss. Das Prüfbit für SED-Anforderungen ist inaktiviert.
request
Legt ein Flag im Header der ausführbaren Datei fest, das angibt, dass diese Datei keine auf auf dem Stack/Datenbereich basierende Ausführung durchführt und somit SED-fähig ist. Das Prüfbit für SED-Ausschluss ist inaktiviert.
Sie können eine Dateigruppe angeben, die eine Gruppe von Dateien, z. B. TCB-Dateien, darstellt. Wenn die angegebene Dateinamenszeichenfolge keine Datei angibt, wird angenommen, dass die Zeichenfolge eine Dateigruppe angibt. Derzeit ist nur die Dateigruppe TCB_files definiert. Sie können Flags für SED-Anforderung und SED-Ausschluss für ausführbare 32-Bit- und 64-Bit-Dateien festlegen und zurücksetzen. Das Flag -c kann nicht zusammen mit den Flags -m, -ound -d verwendet werden.
-d Zeigt das Prüfflag für SED-Anforderung und SED-Ausnahme für ausführbare Dateien an. Die Flags für SED-Anforderung und SED-Ausnahme sind im Dateiheader einer ausführbaren Datei enthalten. Wenn ein Verzeichnis angegeben wird, werden alle ausführbaren Dateien in diesem Verzeichnis und seinen Unterverzeichnissen mit ihren SED-relevanten Flags angezeigt. Dieses Flag setzt Leseberechtigung für Dateiname oder Verzeichnisname voraus. Das Flag -d kann nicht zusammen mit den Flags -m, -o und -c verwendet werden.
-h Zeigt die Syntax des Befehls sedmgr an.
-m Legt den systemweiten SED-Modus fest, wenn der Prozessor SED unterstützt. Änderungen an der systemweiten Einstellung erfordern einen Systemneustart, um wirksam zu werden. Diese Option akzeptiert einen der folgenden Werte:
Alle
Erzwingt SED für alle Dateien mit Ausnahme der Dateien, die einen Ausschluss erfordern (bzw. für Ausschluss markiert sind).
Aus
Inaktiviert die SED-Funktion auf dem System.
select
Legt den Betriebsmodus zur Auswahl der Prozesse fest, die für SED aktiviert und daraufhin überwacht werden, ob sie von der Stackausführung ausgeschlossen werden müssen. Es werden nur Prozesse aus Dateien ausgewählt, in deren Header das SED-Flag "request" gesetzt ist.
setidfiles
Legt den Betriebsmodus so fest, dass das Betriebssystem SED für die Dateien mit gesetztem SED-Flag "request" ausführt, und aktiviert SED für die ausführbaren Dateien mit folgenden Merkmalen:
  • setuid-Dateien mit dem Eigner "root"
  • setid -Dateien mit der Primärgruppe "system" oder "security".
Das konfigurierte SED-Attribut wird beim nächsten Booten des 64-Bit-Kernels wirksam. Da das SED-Attribut in ODM 32-Bit-Kernel nicht betrifft, wird das SED-Überwachungsflag in diesem Fall inaktiviert. Wenn ein Prozessor SED nicht unterstützt, gibt der Befehl sedmgr einen Fehler mit dem Flag -m zurück. Das Flag -m kann nicht zusammen mit den Flags -c und -d verwendet werden.
-o Diese Option ermöglicht SED, die Prozesse zu überwachen, anstatt sie zu beenden, wenn Ausnahmen auftreten. Wenn Sie diese Option verwenden, können Sie feststellen, ob eine ausführbare Datei eine zulässige Stackausführung durchführt. Diese Einstellung funktioniert mit dem systemweiten Modus, der mit der Option -c festgelegt wurde. Das Steuerflag für die SED-Überwachung gehört zu den systemweiten SED-Einstellungen, die in ODM gespeichert werden. Zum Ändern dieser Einstellung ist Rootberechtigung erforderlich. Die gültigen Werte für dieses Flag sind im Folgenden beschrieben:
on
Aktiviert die Überwachung für die SED-Funktion. In diesem Modus lässt das System die Fortsetzung des Prozesses auch dann zu, wenn eine SED-relevante Ausnahme eintritt. Anstatt den Prozess zu beenden, protokolliert das Betriebssystem die Ausnahmebedingung im Fehlerprotokollsubsystem AIX .
Aus
Inaktiviert den Überwachungsmodus für die SED-Funktion. In diesem Modus beendet das Betriebssystem jeden Prozess, in dem eine SED-relevante Ausnahme eintritt.
Das konfigurierte SED-Attribut wird beim nächsten Booten des 64-Bit-Kernels wirksam. Da das SED-Attribut in ODM 32-Bit-Kernel nicht betrifft, wird das SED-Überwachungsflag in diesem Fall inaktiviert. Wenn ein Prozessor SED nicht unterstützt, gibt der Befehl sedmgr einen Fehler mit dem Flag -m zurück. Das Flag -o kann nicht zusammen mit den Flags -c und -d verwendet werden.
None Wenn kein Flag angegeben ist, zeigt der Befehl sedmgr die aktuelle Einstellung in Bezug auf die Umgebung zum Inaktivieren der Stackausführung an. Sie zeigt die aktuelle SED-Einstellung in der Kernelstruktur var und die systemweiten SED-Einstellungen in ODMan.

Parameter

Element Beschreibung
Dateiname Der Name der ausführbaren Datei, deren SED-Einstellungen geändert werden. Setzt Schreibberechtigung voraus.
Dateigruppe Eine Gruppe ausführbarer Dateien, deren SED-Einstellungen geändert werden, wenn kein Dateiname angegeben wird. Setzt Rootberechtigung voraus.
Verzeichnisname Verzeichnis der ausführbaren Dateien und alle Unterverzeichnisse von ausführbaren Dateien, deren SED-Prüfflags mit dem Flag -d angezeigt werden.

Exitstatus

Element Beschreibung
0 Der Befehl wurde erfolgreich ausgeführt.
255 Es ist ein Fehler aufgetreten.

Sicherheit

Zugriffssteuerung: Dieser Befehl muss ein Standardbenutzerbefehl sein und das TCB-Attribut (Trusted Computing Base) haben.

Beispiele

  1. Geben Sie Folgendes ein, um das systemweite SED-Modusflag in setidfiles und das SED-Steuerflag in "on" zu ändern:
    sedmgr -m setidfiles -o on
  2. Geben Sie Folgendes ein, um das SED-Prüfflag für die Datei plans in exempt zu ändern:
    sedmgr -c exempt plans
  3. Geben Sie Folgendes ein, um das SED-Prüfflag für alle ausführbaren Dateien, die als TCB-Datei markiert sind, in select zu ändern:
    sedmgr -c request TCB_files
  4. Geben Sie Folgendes ein, um das SED-Prüfflag der Datei plans anzuzeigen:
    sedmgr -d plans

Einschränkungen

Prüfereignisse: Wenn das Prüfsubsystem ordnungsgemäß konfiguriert und aktiviert wurde, generiert der Befehl sedmgr den folgenden Prüfdatensatz (Ereignis):
Ereignis Informationen
SEDMGR_Odm Systemweite SED-Einstellung.
SEDMGR_File SED-Einstellung in einem Header einer ausführbaren Datei.

Weitere Informationen zur richtigen Auswahl und Gruppierung von Audit-Ereignissen und zur Konfiguration der Sammlung von Audit-Ereignissen finden Sie unter Einrichten von Auditing im Abschnitt Auditing-Übersicht unter Sicherheit.

Position

/usr/sbin/sedmgr

Dateien

Element Beschreibung
/usr/bin/tcbck Zugriff im ausführbaren Modus.
/usr/bin/ldedit Zugriff im ausführbaren Modus.