CA ControlMinder 12.8 Service Pack 1 (SP1) - Endpoints FIXLIST - Japanese

3910

05 October 2016

05 October 2016

CA ControlMinder 12.8.01 修正リスト
番号 重大度 モジュール 問題のサマリ パッケージ OS 問題の原因 条件 解決策または回避策 再現手順
1 3 UNIX エンドポイント ユーザ モード シグナル 6 (中止)が原因で seosd のコア ダンプが発生するという問題を修正します。 この動作が発生するのは、システム コマンド reboot が発行される時です。 AN01831 すべての UNIX seosd がシャットダウンに長時間を要するため、システムが seosd に対して別のシグナル 6 を発行します。     1. cp /opt/CA/AccessControl/samples/system.init/LINUX/S95seos /opt/CA/AccessControl/bin
2. chmod +x /opt/CA/AccessControl/bin/S95seos
3. ln -s /opt/CA/AccessControl/bin/S95seos /etc/rc5.d/S95seos
4. CA ControlMinder を起動し、reboot コマンドを発行します。
5. システムが起動してから、/opt/CA/AccessControl/bin でコア ダンプを確認します。
 
seosd がクライアント環境で大量のクリーンアップ タスクを受信した場合にのみ、問題を再現することができます。
2 2 UNIX エンドポイント ユーザ モード seosd が再起動中にコア ダンプを生成するという問題を修正します。 AN02078 すべての UNIX   AC125SP50555 による変更が含まれるパッチが適用された 12.5 SP5 GA、または 12.5.SP5 CR1 でこの問題が発生します。 すでに解放されているメモリを解放しないようにチェック マークを付けます。 1. 12.5 SP5 CR1 をインストールします。
2. CA ControlMinder を実行します。 
3. reboot コマンドを実行します。
3 3 UNIX エンドポイント ユーザ モード vi で seos.ini ファイルをスクロールすると、ログイン セッションが終了してしまう問題を修正します。 seos.ini でキーボード ロガーが有効になり、kbl_output_limit が 10 に設定されます。 AN02108 すべての UNIX read() をコールするパラメータの長さがマイナス KBL が有効で kbl_output_limit=10   AIX 6.1:
 
1. seos.ini で、以下のパラメータを設定します。
kbl_enabled = yes
kbl_output_limit = 10 
 
2. AC> eu root audit(interactive)
3. root ユーザとしてログインします。
4. # vi /opt/CA/AccessControl/seos.ini 
5. 開かれているファイルをスクロール ダウンします。 
 
 
期待: ファイル全体をスクロールできます。
実際: ログイン セッションが終了し、... への接続は 外部ホストによって切断されます。
4 3 UNIX エンドポイント ユーザ モード ファイルのタイム スタンプが変更されたときに、最も古いファイルを取得できないという問題を修正します。 AN02134 すべての UNIX   seos.audit バックアップ ファイルのタイムスタンプが変更されるため、seosd はファイルを正しく検索できません。 バックアップ ファイル seos.audit.bak.xxx.xx が、ほかのプロセスによって変更されないようにします。 以下のトークンを設定します。
BackUp_Date = daily
audit_max_files = 3 (または任意の数)
 
cd /opt/CA/AccessControl/log
 
cp seos.audit.bak.30-Mar-2014-09:44:32 seos.audit.bak.31-Mar-2014-09:44:32 3.
cp seos.audit.bak.30-Mar-2014-09:44:32 seos.audit.bak.01-Apr-2014-09:44:32
 
これで、バックアップ ファイルが 3 つになります。
audit_max_files は 3 に設定されます。
seos.audit の名前が翌日変更されると、最も古いバックアップ ファイルが削除されます。 名前の拡張子によると、30-Mar-2014-09:44:32 は最も古いファイルです。seos.audit の名前がバックアップ ファイルに変更されたら、このファイルは翌日削除される必要があります。 ただし、CA ControlMinder をシャットダウンしてから、"touch seos.audit.bak.30-Mar-2014-09:44:32" を実行すると、ファイル seos.audit.bak.30-Mar-2014-09:44:32 は最も古いファイルではなくなります。 seos.audit がバックアップ ファイルにロールされるときに、このファイルの削除は失敗します。
5 2 UNIX エンドポイント ユーザ モード Java 共有ライブラリ libjvm.so および libjsig.so のロード時に AgentManager および ReportAgent がエラーを生成する Zlinux の問題を修正します。 AN01812 Linux s390 作成された LD_LIBARARY_PATH に libjsig.so のパスが含まれません。   s390x システム タイプの確認を含むように、条件を変更します。 ./report_agent.sh start
 
エラー:
/opt/CA/AccessControlShared/bin/ReportAgent: error while loading shared libraries: libjsig.so: cannot open the shared object file: No such file or directory.
6 3 UNAB nss_uxauth データ交換のため、RHEL の最近の変更に UNAB を適応させる問題を修正します。 AN02092 すべての Linux        
7 3 UNIX エンドポイント ユーザ モード Watchdog が再起動時に seosd プロセスの強制終了を試行するという問題を修正します。 その結果、SMF サービスは再起動後にメンテナンスモードに入り、SMF と watchdog の両方が seosd の再起動を試行します。 AN02080 すべての UNIX     saferoute で、返されたエラーを確認します。 エラーが SEOSSFR_E_NOSERV である場合には、seosd を強制終了しません。  
8 2 UNIX エンドポイント カーネル モード 偽の /etc/os-release ファイルによって SEOS_load が失敗するという問題を修正します。 AN02081 Linux x64 偽の /etc/os-release ファイルは getvar.sh によって不正確に解析されます。 /etc/os-release ファイルが追加された RHEL 5.x   RHEL 5.10 X64 システム:
 
1. SOE カーネル モジュールがアンロードされるようにします。
SEOS_load -u  
 
2. text:redhat が含まれている /etc/os-release ファイルを追加します。
3. SEOS_load を実行して seos カーネル モジュールをロードします。
 
CA ControlMinder がロードおよび実行する必要があります(以前には SEOS_load は OS を Debian として検知していました)。
9 2 UNIX エンドポイント ユーザ モード UNAB がインストールされている場合、sepass がローカル ユーザに対して機能しないという問題を修正します。 AN01934 すべての UNIX       1. CA ControlMinder エンドポイントおよび UNAB の両方がインストールされているシステムで、ネイティブからユーザを作成します。
#useradd test111
#passwd -r files test111
 
2. UNAB がインストールされ実行されている場合に、Sepass を使用してローカル ユーザのパスワードを変更します。
bash-3.00# sepass test111
 
CA ControlMinder sepass v12.80.0.1675 - パスワード置換
Copyright (c) 2013 CA. All rights reserved.
test111 のパスワードを変更しています
パスワードの入力:
新規パスワードの入力:
新規パスワードの確認:
アクセスは拒否されました
ローカル パスワードが正常に更新されます。
 
3. 新しく変更されたパスワードで、ローカル ユーザとしてログインします。
 
システムに正常にログインできます。
10 3 UNIX エンドポイント カーネル モード Solaris 内部ゾーンでキーボード ロガーが正常に機能しないという問題を修正します。 AN01829 すべての UNIX グローバル ゾーンでの CA ControlMinder の起動時にのみ、CA ControlMinder はグローバル構造 "SEOS_kbl_info_t KBL_info" を初期化します。 CA ControlMinder は内部ゾーンでもこのグローバル構造を使用します。 CA ControlMinder は Solaris グローバル ゾーンでの実行に失敗します。 per-zone KBL_info を作成します。この構造は cmdlog バイナリ記述を保持し、このゾーンでの CA ControlMinder の起動時に、それを初期化します。  
11 2 UNIX エンドポイント カーネル モード Solaris 10 で、Solaris 10 ゾーンの長いパス名がシステム クラッシュを引き起こす問題を修正します。  AN01861 Solaris Sparc 1024 バイトのバッファに 1028 バイトの文字列の書き込みが試行されます。 パス名が長い Solaris 10 ゾーン ゾーン名をパス名に追加するときの長さを確認します。 バッファ長 MAXPATHLEN=1024 を超過しないようにします。 Solaris 10 内部ゾーンで、内部ゾーンでのパス長さの合計が 1020 バイトのファイルを作成します。 グローバルおよび内部ゾーンで CA ControlMinder を起動します。 内部およびグローバル ゾーンからこのファイルへのアクセスを試行します。
 
CA ControlMinder は、長いパスにゾーン プレフィックスを追加し、ヒープ破損エラーで終了します。
12 3 UNIX エンドポイント ユーザ モード libscramble.so を使用しているときに、リモート ホストへの Selang 接続が失敗するという問題を修正します。 AN01868 Linux s390 暗号化レイヤは、データの復号化に失敗します。 ACCIPHER レイヤは、暗号化のために共有ライブラリをロードします。 libscrable.so 内の関数 _unscramble() は、バッファ サイズの入力パラメータを int* として期待しますが、ACCIPHER レイヤは long* を送信します。 zLinux では、int は 4 バイトで、long は 8 バイトです。 結果として、コールされた関数は、無効なバッファ サイズ値(大きな値)を返します。ACCIPHER レイヤは、エラーを返します。 libscramble.so を使用します。 復号化が失敗した場合には、返されたバッファ サイズのサイズを確認します。 バッファ サイズが大きいときには、ほとんどの場合、この関数は int へのポインタを期待します。 新しいパラメータ int で復号化を再度コールします。 2 つのホストで、それぞれに以下のコマンドを実行します。 
 
ホスト 1 (Solaris 10 および CA ControlMinder 12.6 SP1 (またはその他のバージョン))
#rm -rf /opt/CA/AccessControl/lib/libcrypt 
# ln -s /opt/CA/AccessControl/lib/libscramble.so.126.0 /opt/CA/AccessControl/lib/libcrypt 
#seload 
#selang 
AC> er terminal <host2.x.com> owner(nobody) defacc(R) ausit(a) 
AC> authorize terminal host2.x.com uid(root) access(a) 
AC>q 
#sechkey -t -pwd xyz 
 
ホスト 2 (Linux s390x および CA ControlMinder 12.6 SP2 (またはその他のバージョン))
#rm -rf /opt/CA/AccessControl/lib/libcrypt 
# ln -s /opt/CA/AccessControl/lib/libscramble.so.126.0 /opt/CA/AccessControl/lib/libcrypt 
#seload 
#selang 
AC> er terminal <host1.x.com> owner(nobody) defacc(R) ausit(a) 
AC> authorize terminal host1.x.com uid(root) access(a) 
AC>q 
#sechkey -t -pwd xyz 
 
ホスト 1
Selang を実行します。
AC> host host2.x.com 
 
期待: 正常に接続します。 
13 3 UNIX エンドポイント ユーザ モード 空のスペースを持つ破損した seos.audit ファイルがイベントの取得に失敗するという、seagent の問題を修正します。 結果として、エンタープライズ管理 UI で表示されるレコードの数は、"seaudit -a" で表示されるレコードの数と異なります。 AN01883 すべての UNIX   破損した seos.audit ファイル   大きな空スペースを含んで破損している seos.audit を取得します。 エンドポイント管理 WEB UI からこのボックスに接続してから、[監査イベント]をクリックしてレコードを表示します。 Web UI に表示されるレコードの数と、"seaudit-a" 内のレコードの数は異なり、いくつかのレコードが不足していることを示しています。
14 3 UNIX エンドポイント ユーザ モード selogrd が seosd によってロックされている seos.audit ファイルの読み取りに失敗すると、selogrd が予想外に終了するという問題を修正します。  AN01153 すべての UNIX seosd は、長い seos.audit ファイルにログを送信するときに、seos.audit ファイルをロックします。 selogrd は seos.audit ファイルを開こうとして、失敗します。 seosd がファイル seos.audit をロックする時間が長すぎます。 selogrd は、このファイルを開くことに失敗すると、10 秒間スリープしてから、このファイルを再び開くことを試みます。  
15 3 UNIX エンドポイント ユーザ モード 一部の AIX システムで、ユーザ名の長さが 8 文字を超えるユーザのパスワードの更新が失敗するという問題を修正します。 AN01527 AIX AIX システム API は、8 文字を超えるユーザ名をサポートしていません。 この問題は、AIX のみで発生します。   ユーザ名が 8 文字を超えるているユーザを選択します。
AC>eu longusername01 password(12345)
vi /etc/security/passwd
 
パスワードは更新されません。
16 3 UNIX エンドポイント ユーザ モード キーボード ロガーが有効な場合に、コマンド logout が失敗する問題を修正します。 AN01613 すべての UNIX       再現されましたが、エラーが異なります。
 
1. CA ControlMinder をインストールします。
2. seos.ini
kbl_enabled=yes
3. システムにログインします。
4. # logout 3004-064 
 
ログイン ユーザである必要があります。
 
実際: ログアウトは失敗します。
 
 
17 1 UNAB パッケージのインストール時に、パスワードにハッシュ文字(#)が含まれるアカウントが登録用の rpm パッケージのカスタマイズに失敗するという、UNAB の問題を修正します。 AN02073 すべての UNIX        
18 3 UNIX エンドポイント ユーザ モード 新しいシェル(新しいプロセス)が新しい setuid を間違って実行するという問題を修正します。 AN02082 すべての UNIX 新しいシェルは root に対して setuid を実行します。 old_sesu が no に設定されています。新しいシェルが root に対して setuid を実行する OS 動作が必要です。    
19 2 UNIX エンドポイント カーネル モード HOST クラス拒否の問題を修正します。 AN02064 すべての UNIX SEOS が接続拒否を決定した時点で、元の accept システム コールによって、接続されたソケット用の新しいファイル ディスクリプタがすでに作成されています。 既存のコードはソケットを終了しますが、ファイル ディスクリプタのクローズに失敗します。 その結果、有効なファイル ディスクリプタは無効なソケットをポイントします。 これにより、プラットフォームに応じて、パニックまたはメモリ リークが発生します。 受信接続が拒否されます。 ファイル ディスクリプタ を閉じると、ソケットが自動的にクリーンアップされます。 1. CA Privileged Identity Manager をインストールします。 
  2. [Solaris 10 以降、および HP UX 11.23 以降のみのオプション]
すべての接続がデフォルトで拒否され、特定の IP アドレス用の特定のポートが有効であると考えてみましょう。 この場合、telnet が異なる IP アドレスの同じポートでで実行されると、CA ControlMinder は、ソケット エントリを半分開いたままで、接続を拒否します。 しばらくして、OS ファイル ディスクリプタ テーブルが一杯になり、サーバはクラッシュします。 syscall ネットワーク インターセプトのメソッドを使用してください。
  seos.ini で以下のトークンを設定します。
SEOS_use_streams = no
SEOS_network_intercept_type = 2 
3. CA ControlMinder を開始します。 
4. HOST クラスをアクティブにします。 
5. 以下の selang ルールを追加します。
chres ADMIN("HOSTNET") audit(failure) defaccess(none) editres HOSTNET("all") audit(failure) owner(nobody) mask(0.0.0.0) match(0.0.0.0)
chres UACC("HOSTNET") authorize HOSTNET("all") access(r) service(22)
authorize HOSTNET("all") access(none) service(*)
注: 最後のルールによって、SSH 以外のすべての TCP サービスはブロックされます。
6. Linux および HP-UX の場合には、別のポートを監視する 2 番目の sshd デーモンを開始します。
/usr/sbin/sshd -p 22033
 
Solaris の場合には、別のポートを監視する 2 番目の sshd デーモンを開始します。
/usr/lib/ssh/sshd -p 22033
注: "sshd -p 22033" を使用するのは、デーモンのファイル テーブルを inetd より容易に追跡するためです。  
7. 別のホストからこの 2 番目の sshd デーモンへの接続を試行します。
ssh -p 22033 this_host 
8. この接続が拒否されたことを監査ログで確認します。 
9. この 2 番目の sshd デーモンの PID を識別します。
ps -ef | grep sshd | grep "-p 22033" 
10. Linux および HP-UX の場合には、PID ファイルをリスト表示します。
lsof -p second_sshd_pid
結果: 失敗した各接続試行で「can't identify protocol」になった sock のファイル
 
Solaris の場合には、PID ファイルをリスト表示します。
pfiles secodn_sshd_pid
結果: システムのパニックを引き起こします。
20 3 UNIX エンドポイント ユーザ モード ユーザが lookaside DB に存在しないときに、ユーザ名が解決されない問題を修正します。 AN02071 すべての UNIX 64 ビットの pam_seos.so は、32 ビットの seosd と通信します。 データが 64 ビットから 32 ビットに転送される場合、データ構造体は一致しません。 Linux X64 ビットに 32 ビット バージョンの CA ControlMinder をインストールする場合にのみ、この問題を再現できます。 ユーザはネイティブ ツールで作成され、ユーザは ladb に追加されません。 これらは問題を再現する 2 つの条件です。 フィクス seosd を適用するか、またはユーザが ladb に追加されるようにします。 1. 12.8 を Linux X64 ビット システムにインストールします。 ただし、12.8 バージョンは x32 ビットです。 x64 ビットの pam_seos.so は /lib64/security にあります。 
2. useradd を実行してユーザを作成し、そのユーザのパスワードを作成します。 ユーザが ladb に存在しないことに注意してください。
3. このユーザとして初めてログインしてから、sewhoami -a を実行します。
 
sewhoami -a には、1 つではなく 2 つのユーザ名があることに注意してください。 
21 3 UNIX エンドポイント ユーザ モード HP 11.11 で FTP ログインが失敗する問題を修正します。これは、SEOS_load -u は SEOS_syscall を正常にアンロードしますが、HPUX11_SeOS_Syscall_number トークンが seos.ini に依然として表示されることが原因です。 AN02059 HPUX PA-RISC SEOS_syscall がアンロードされたときに、HPUX11_SeOS_Syscall_number は seos.ini で依然として設定されています。 HPUX11.11 のみ このフィクスを適用するか、または seos.ini から HPUX11_SeOS_Syscall_number を手動で削除します。 1. CA ControlMinder を HPUX11.11 にインストールします。
2. CA ControlMinder を開始します。 
3. secons -sk 
4. SEOS_load -u 
5. vi seos.ini 
 
期待: HPUX11_SeOS_Syscall_number トークンが seos.ini に表示されてはなりません。
実際: HPUX11_SeOS_Syscall_number トークンが seos.ini に表示されます。
22 3 UNIX エンドポイント ユーザ モード コア ファイルを生成する policyfetcher の問題を修正します。  AN02042 すべての UNIX NULL ポインタ アクセス   文字列ポインタを確認します。  
23 3 UNIX エンドポイント ユーザ モード DENY 監査レコードにもかかわらず、ユーザが ログインできる問題を修正します。 AN02022 すべての UNIX PAM 設定で pam_seos は オプションです。 pam_seos からの戻り値は Linux で無視されます。 PAM loginappl 新しいトークン(pam_deny_login_kill = yes)は、seos.ini [pam_seos] で定義されます。 デフォルト値が yes に設定されると、CA ControlMinder は denied プロセスを強制終了します。 トークンを no に設定すると、CA ControlMinder は pam_seos.so に "deny" を返し、pam_seos.so はサービスに PAM_PERM_DENIED を返します。 そのような場合、管理者は /etc/pam.d/system-auth でオプション pam_seos.so を required pam_seos.so に変更する必要もあります。 Linux の場合
AC>er loginappl VFTP loginflags(PAM, nograce)
AC> er terminal x.y.z.a defaccess(n) owner(nobody)
 
 端末から ftp tet_host を実行します。
 
期待: ログインが失敗します。
実際: ログインが成功します。
24 3 UNIX エンドポイント カーネル モード CA ControlMinder 実行中に CPU への負荷が大きいというパフォーマンス問題を修正します。 AN02030 すべての Linux /proc へのファイル アクセスを確認するときに、カーネル テーブルに頻繁にアクセスします。   カーネルで proc_bypass トークンを確認し、SEOS_proc_bypass=1 の場合、および /proc へのアクセス時に、即時 ALLOW を返します。  
25 2 UNIX エンドポイント カーネル モード CentOS 6.5 が適切に検出されず、SEOS_syscall の間違ったリンクが作成される問題を修正します。 AN01989 すべての Linux getvar.sh は OS を適切に検出しません。SEOS_syscall は CentOS 6.5 に誤ってリンクされます。      
26 3 UNIX エンドポイント ユーザ モード クリア テキスト パスワードが KBL 監査ログに保存される問題を修正します。 AN01980 すべての UNIX cmdlog は、すべてのテキスト入力を監査ログに送信します。   パスワードのテキストが非表示になるように、cmdlog を変更します。 1. KBL を有効にします。 
2. ユーザの作成
AC>eu test audit(interactive)
'test' としてログインします。
% su
Password: **** 
3. seaudit -kbl -sid 28327 -cmd 
 
SessionCmd: クリア テキスト パスワードを表示します。
27 2 UNIX エンドポイント ユーザ モード システムで 8000 プロセスを実行しているときに、CA ControlMinder が起動に失敗する問題を修正します。 AN01982 すべての UNIX 起動時に、seosd は 8000 エントリの最初のプロセス テーブルを割り当てます。 すべてのプロセスを格納するために十分なテーブル スペースがない場合には、seosd はさらに大きなサイズのテーブルを再割り当てします。 OLD_ProcServer_add_entry() 関数は、再割り当てされたテーブルではなく、以前のテーブルに、エントリへのポインタ 'p' を保存します。これにより、seosd クラッシュが発生します。 システムに 8000 を超えるアクティブなプロセスがあります。 OLD_ProcServer_add_entry() を変更します。 8000 を超えるプロセスを含むテスト システムを実行します。
元のプロセス テーブル エントリをローカル ストアに保存します。 CA ControlMinder を開始します。
データを新しいエントリにコピーするときに保存されたエントリを後で使用します。  
28 3 UNIX エンドポイント ユーザ モード lookaside DB の読み取り中に、watchdog が seosd を強制終了する問題を修正します。 AN01965 すべての UNIX ladb へのアクセス時に、seosd は破損していると考えられるファイル ロックを待ちます。 そのため、watchdog は seosd を強制終了します。   ファイル ロックを要求する前に、seosd から ladb へのアクセス時にロックを使用できるかどうかを確認します。  
29 3 UNIX エンドポイント ユーザ モード SEOS_load -u の実行時に GUI が動作を停止する問題を修正します。 AN01947 Linux x64 アンロード終了スクリプト /etc/init.d/messagebus stop で、このコマンドを実行するとき   Linux RH で /etc/init.d/messagebus stop をコールしないでください。 RH 6.4 システムで SEOS_load-u を実行します。
 
X サーバが停止します。
30 3 UNIX エンドポイント ユーザ モード Lookaside DB が無効であるときに、端末ルールが無視される問題を修正します。 AN01906 すべての UNIX seosd が、ホスト キャッシュ内のホスト名の検索に失敗します。 その結果、uxcache_gethostbyaddr() 関数が任意のホストに NULL を返します。 seos.ini ファイルで、use_lookaside=no を設定します。 ホスト キャッシュが完全に再作成されます。 1. seos.ini で、以下のパラメータを設定します。
use_lookaside = no
terminal_search_order = name 
 
2. 同じホストに対して 2 つの DM ルールを作成します。一方のルールには名前、他方のルールには IP アドレスを使用します。
AC> nr TERMINAL my_test.ca.com defaccess(READ) owner('nobody')
AC>nr TERMINAL a.b.c.d defaccess(none) owner('nobody')
 
3. my_test.ca.com から、サーバにログインします。
 
期待: 最初に端末ルールでアクセスが許可されます。
実際: 接続が終了され、IP ルールに基づいて決定が行われます。
31 3 UNIX エンドポイント ユーザ モード FTP ログイン レコードに間違ったリモート ホスト IP が表示されることがある問題を修正します。 FTP の LOGINAPPL が PAMLOGIN に設定されている場合、監査ファイルに間違った IP アドレスが表示されます。 AN01881 すべての UNIX CA ControlMinder は VFTP loginappl に対する PAM フラグを処理せずに、PAM ログイン処理をスキップします。 CA ControlMinder は vftpd プロセスのカーネルから IP アドレスを取得し、別の接続の IP を返します(このカーネルは、プロセスの最初の使用可能なソケットからアドレスを取得します)。 seosd は、LOGINAPPL ルールの更新時にのみ、最後のログイン フラグを RT テーブルに保存します。 実際には、seosd はすべてのフラグをログイン テーブル エントリに追加する必要があります。 libscramble.so の使用 すべてのフラグを RT ログイン プログラム エントリに追加します。 S1 Linux Oracle RH 6.4 1 で再現されました。
 
1. Linux で CA ControlMinder を起動します。
2. LOGINAPPL rule er loginappl VFTP loginflags(PAMLogin nograce) を編集します。 
3. 別のシステムから Linux への SSH (Windows a.b.c.d を使用した再現)。 
4. Linux で、service vsptpd restart を使用して FTP を再起動します。
5. 3 番目のシステムから Linux に FTP で接続します(Windows w.x.y.z を使用した再現)。 
6. Linux で、seaudit -a を実行します。 
 
21 Feb 2014 05:13:17 P LOGIN root 59 2 a.b.c.d SSH
21 Feb 2014 05:14:24 P LOGIN root 54 2 a.b.c.d VFTP 
 
実際: CA ControlMinder が 2 番目の Windows から接続するときに、1 番目の Windows の IP アドレスを含む FTP レコードを保存します。
32 3 UNIX エンドポイント カーネル モード カーネルのアップグレード後に、変更されたカーネル シンボルが SEOS_load の失敗を引き起こす問題を修正します。 AN01864 Linux x64 シンボルのバージョンが一致しません。 カーネルのアップグレード SUSE 10SP2, Linux SUSE 10 SP2 x86_64 2.6.16.60-0.66.1-smp
x86_64, SEOS_load
kernel 2.6.16.60-0.66.1 SEOS_load: SEOS_syscall fails to load
link SEOS_syscall to next OSMIC level -EOS_syscall.100SUSEcX86_64.MP.ko  
33 3 UNIX エンドポイント ユーザ モード Linux システムで、NULL ACCIPHER ハンドルとの接続が原因で、seagent コア ダンプが時々発生する問題を修正します。  AN01840 すべての UNIX ACCIPHER ハンドルが NULL です。 seagent と NULL ACCIPHER の接続 seagent フィクス Linux にエンタープライズ管理サーバをインストールします。 seagent コアが時々ダンプすることに注意してください。 seagent のデバッグ ログを確認し、NULL ACCIPHER ハンドルとの seagent の接続を探します。
34 3 UNIX エンドポイント カーネル モード サイズが 4 GB を超えるようにファイルを伸長させる ftruncate コールが失敗する問題を修正します。 AN01834 AIX   サイズが 4 GB を超えるようにファイルを伸長させる ftruncate のコール データ タイプを off_t に変更します。 1. ファイルを作成してそのファイルのサイズが 4 GB を超えるようにする ftruncate をコールするプログラムを作成します。 
2. CA ControlMinder を開始します。 
3. プログラムを実行します。
長さが intended_size - 4 GB のファイルが作成されます。 
ファイル サイズの ulimite が unlimited に設定されていることを確認します。
35 2 UNIX エンドポイント カーネル モード カーネル プロセス サーバ関数 SEOS_procserver_list_len() の実行時に、システム クラッシュが発生する問題を修正します。 AN01811 すべての UNIX プロセス KBL cmdlog が AC_ProcGetOrigArg0() およびカーネル関数 SEOS_procserver_getArg0() をコールします。 カーネル procserver 関数は、スピンロックを保持しながら、alloc() をコールします。 スケジューラは、CPU からプロセスを削除します。   スピンロックを保持しながら、ブロック可能な alloc() をコールしないでください。  
 
スタック トレース:
ID: 12060 TASK: ffff81010d2b7100 CPU: 1 COMMAND: "AC"
#0 [ffff81001bb75c78] schedule at ffffffff80062f90
#1 [ffff81001bb75d50] __cond_resched at ffffffff800900c8
#2 [ffff81001bb75d60] cond_resched at ffffffff800630c5
#3 [ffff81001bb75d70] __kmalloc at ffffffff800de725
#4 [ffff81001bb75d90] eAC_calloc at ffffffff886c5008 [seos]
#5 [ffff81001bb75dc0] SEOS_procserver_getArg0 at ffffffff886c281c [seos]
#6 [ffff81001bb75e00] _SEOS_syscall_ at ffffffff886a41f6 [seos]
36 3 UNIX エンドポイント ユーザ モード /bin/su からの setuid が許可されないため、seos.ini で old_sesu が no に設定されているときに、sesu - user01 が拒否される問題を修正します。 AN01803 すべての UNIX /bin/su は setuid のコールも行います。 old_sesu を no に変更します。 setuid コールを許可する、コード SURROGATE ルール AIX で以下のことを実行します。
 
1. vi seos.ini 
2. old_sesu を no に変更します。
3. ユーザ tt01 としてログインし、sesu - tt02 を実行します。
 
実際: コマンドは拒否されます。
37 2 UNIX エンドポイント カーネル モード SLES 10sp3 システムで実行される SLES 10sp2 カーネルで、カーネル モジュールがロードに失敗する問題を修正します。 AN01765 すべての Linux CA ControlMinder は、/etc/SuSE-release ファイルを使用して、カーネルのバージョンが SLES 10 sp2 または sp3 であるかどうかを検出します。 CA ControlMinder は、uname-r を使用して、カーネル バージョンを検出する必要があります。 AC カーネル モジュールはロードに失敗します。 修正された getvar.sh をインストールします。 1. SLES 10 sp3 (カーネル 2.6.16.60-0.54)をインストールします。
2. このカーネルを SLES 10 sp2 カーネル 2.6.16.60-0.21 に戻します。
 
実際: CA ControlMinder はロードに失敗します。
38 2 UNIX エンドポイント カーネル モード Symantic sisip カーネル モジュールの処理中に、共存の問題がパニックを引き起こす問題を修正します。 AN01766 Linux x64        
39 3 UNIX エンドポイント ユーザ モード /usr/sbin/saslauthd プロセスで、開かれているファイルの記述子の数が増える問題を修正します。 AN01750 すべての UNIX pam_seos.so は、開いているソケットを閉じません。 RH 6.0 に関してレポートされた問題ですが、すべてのプラットフォームに当てはまります。 pam_create_socket_client_handle() で PUPM 接続が失敗する場合に、ソケットを閉じます。 # ps -ef | grep saslauthd
root 20004 1 0 Oct28 ? 00:00:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 1
# ls -l /proc/20004/fd
(開かれているファイルの数のマーク)
# telnet localhost 110
USER tanma07
+OK Name is a valid mailbox
PASS tanma07
+OK Mailbox locked and ready
QUIT
+OK
# ls -l /proc/20004/fd
 
実際: 別の開いているソケットを表示します。
40 2 UNIX エンドポイント ユーザ モード acpwd が AIX または HP-UX で実行されているときに、PUPM ユーティリティがエラーをスローする問題を修正します。 ただし、Windows または Linux では、acpwd は正しく動作します。 AN02330 すべての UNIX        
41 2 UNIX エンドポイント ユーザ モード パスワード ルールをクリアした後でも、禁止文字パスワード ルールがデータベースに存在する問題を修正します。 AN02333 すべての Linux     パスワード ルール(so password(rules-))の削除後に、禁止文字パスワード ルールを更新します。 1. Selang
2. so password(rules-)
3. so password(rules(prohibited(!@#)))
4. so list
確認 1: 禁止文字ルールはリストに存在しません。
5. so password(rules-); clear the password rules
6. so class+ (PASSWORD)
7. eu test password(test)
8. 'test' としてログインして、password; sepass の変更を試行します。
9. 禁止文字 (!@#) を使用して、新しいパスワードを設定します。
10. パスワードの変更が拒否され、禁止文字がパスワードに含まれていることを示すメッセージが表示されます。
確認 2: パスワード ルールがクリアされても、禁止文字ルールが sepass モジュールにチェックインします。
42 3 UNIX エンドポイント ユーザ モード VFTP PAM の実行後に、監査レコードが間違った端末名を表示する問題を修正します。 AN02315 すべての UNIX PAM フラグがありません。PAM 端子名を無視します。 loginappl VFTP loginflags(PAMLogin) PAM ログインの処理時に、pd-->flag = PDF_TTY_PAM を設定します。 Linux x86_64 で以下のことを実行します。
 
1. AC> er loginappl VFTP loginflags(PAMLogin nograce)
2. CA ControlMinder トレースを開始します。
3. 別のホストから FTP 接続を実行します。
 
トレース修正前の実際:
03 Dec 2014 17:50:24> PAMLOGIN: P=9760 User=test Terminal=xxx.ca.com
03 Dec 2014 17:50:24> LOGIN : P=9760 User=test Terminal=10.219.21.0
 
行 PAMLOGIN は、正しい端末名を示します。
次の行は、端末を間違った IP アドレスで上書きします。
 
期待:
03 Dec 2014 18:04:21> PAMLOGIN: P=9921 User=test Terminal=xxx.ca.com
03 Dec 2014 18:04:21> LOGIN : P=9921 User=test Terminal=xxx.ca.com
4. # seaudit -a
03 Dec 2014 18:31:14 P LOGIN test 59 2 xxx.ca.com VFTP 
43 3 UNIX エンドポイント ユーザ モード libcrypto.sl が HPUX PA-RISK2.0 へのロードに失敗する問題を修正します。  AN02320 すべての UNIX       seversion seosd をコールします。
44 3 UNIX エンドポイント ユーザ モード AIX の事前定義済み ghnode ノードで、AIX エンドポイントの条件が誤って作成される問題を修正します。 AN02321 AIX エンドポイントのノードの情報は OS バージョン AIX 7.1 として定義されていています。条件は AIX 7 1* です。 条件にドット(.)が含まれていません。 その結果、エンドポイント AIX 7.1 は、ghnode "AIX 7.1" のメンバとして追加されません。 エンタープライズ管理サーバへのエンドポイントとして AIX 7.1 を追加します。 "AIX 7.1" の ghnode で、条件を手動で修正します。 エンタープライズ管理サーバをインストールしてから、以下のコマンドを実行します。
AC>sr ghnode ("AIX 5.3")
AC>sr ghnode ("AIX 6.1")
AC>sr ghnode ("AIX 7.1")
条件
HNODE_INFO = AIX 5 1*
HNODE_INFO = AIX 6 1*
HNODE_INFO = AIX 7 1*
 
適切な条件は以下のとおりである必要があります。
条件
HNODE_INFO = AIX 5.1*
HNODE_INFO = AIX 6.1*
HNODE_INFO = AIX 7.1*
45 3 UNIX エンドポイント カーネル モード JDS およびオープン端末を使用してログインしたときに、KBL の対話ユーザが追跡されない問題を修正します。 AN02310 すべての UNIX KBL トリガ条件が満たされないため、KBL をインターセプトすることができません。   親プログラムが LOGINAPPL であるときに、KBL インターセプトをトリガする追加条件を確認します。 1. Solaris では、CA ControlMinder をインストールして、seos.ini で KBL を有効にします。
  kbl_enabled = yes
CA ControlMinder DB で、/usr/bin/gnome-terminal の LOGINAPPL リソースを作成します。  
  2. 追跡対象ユーザを作成します。
AC> eu test password(test) audit(interactive)
 
3. CA ControlMinder を開始します。
4. Win デスクトップに xming をインストールします。http://sourceforge.net/projects/xming/
5. XLaunch を起動します。
6. 1 つのウィンドウを選択し、XDMCP でセッションを開始します。
7. デスクトップ オプション JDS - Java Desktop System を使用して、コンソールにログインします。
8. JDS の起動時に xterminal を開いて、いくつかのコマンドを実行します。
9. KBL 監査を確認します。
# seaudit -kbl 
 
期待: 追跡対象ユーザのレコード 
46 3 UNIX エンドポイント カーネル モード SEOS_scs_syscstat_refresh() の実行中に、Solaris 10 システムがクラッシュする問題を修正します。 AN02295 すべての UNIX ゼロ除算命令   除算命令を使用する前に、カウンタがゼロでないことを確認します。  
47 3 UNIX エンドポイント ユーザ モード 終了処理で、seosd プロセスが自動的に再起動して、コア ファイルを生成する問題を修正します。 AN02296 すべての UNIX        
48 2 UNIX エンドポイント ユーザ モード dlopen が libcryptscr.sl.128.0 のロードに失敗する問題を修正します。  AN02298 HPUX IA64 C++ 静的ライブラリ ThreadsLibrary.a とリンクする aCC     Csup ライブラリとのリンクを追加します。 Run 
seversion seosd
または
seretrust -l > tmp/retr_script 
49 3 UNAB AD が鍵のバージョン番号をインクリメントしないときに、エンドポイントを登録できる問題を修正します。  AN02302 すべての UNIX     xconsole 'k' スイッチが追加されます。  
50 3 UNIX エンドポイント カーネル モード PROCESS 保護の監査ログ ファイルに、プログラム SPECIALPGM のフル バイパスが表示される問題を修正します。 AN02290 すべての UNIX シグナル ハンドラでフル バイパスが無視されます。   チェックイン プログラムは、カーネル シグナル ハンドラでのすべてのアクションに対して信頼されています。 1. このスクリプト test.sh を保存します。
#!/bin/sh
echo "-------- PID $$"
if [ "x$1" = "x" ]; then
echo "call itself with parameter $$"
$0 $$
sleep 30
else
sleep 1
echo "kill $1"
kill $1
echo "result $?"
fi
 
2. リソースを保護します。
AC> er PROCESS <your_path>/test.sh defaccess(n) owner(root)
 
3. テスト保護
# ./test.sh
kill: 352676: Permission denied
# seaudit -a
2014 22:17:44 D PROCESS user01 Read 69 2 /home/lipyu01/test.sh
 
4. バイパスを指定します。
AC> er SPECIALPGM <your_path>/test.sh pgmtype(FULLBYPASS, PROPAGATE)
 
5. テスト保護
# ./test.sh
 
期待: プロセスは、シグナルを受け取り、J43 を終了します。
51 3 UNIX エンドポイント ユーザ モード ユーザ名が 8 文字より長い場合に、Selang ユーザ パスワードの更新が失敗する問題を修正します。 AN02275 AIX ユーザがシャドウ ファイルに存在しない場合は、更新機能が動作しません。   更新機能がユーザの検索に失敗した場合は、シャドウ ファイル内で新しいエントリを作成します。 AIX で以下のことを実行します。
 
1. OS コマンドを使用してユーザを追加します。
# useradd verylongusername
 
2. Selang でパスワードの更新を試行します。
AC(Unix)> eu verylongusername password(test)
 
3. ユーザがシャドウ ファイル /etc/security/password に存在するかどうかを確認します。
4. 更新されたパスワードを使用して、システムへのログインを試行します。
 
期待: ログインが成功します。 
実際: ログインが失敗します。 
52 3 UNIX エンドポイント ユーザ モード クリア テキスト パスワードが KBL 監査に保存される問題を修正します。 AN02279 すべての UNIX cmdlog による su の出力に、単語 Password が含まれません。   英語の Password と、ローカライズされた単語の両方を比較します。 ローカライズされたシステムで、以下のことを実行します。
 
1. CA ControlMinder のローカライズ版をインストールします。
2. KBL を有効にします。
3. ユーザを作成します。
AC> eu test audit(interactive)
4. test としてログインします。
% su
パスワード:(password)
seaudit -kbl -sid 28327 -cmd
 
16 Sep 2014 06:26:04 P TRACE kbl_user 5417d7c6:0000012a kbl_user kbl_user KBL input 13429 INFO:
SessionCmd: *******.
 
期待: パスワードは非表示になります。 
53 3 UNIX エンドポイント カーネル モード 27 CPU を搭載したシステムで、システムがクラッシュする問題を修正します。 AN02270 すべての UNIX seosd が、インターセプトを開始し、syscall テーブルを読み取り専用に設定するときに、別のスレッドが同じページにアクセスしようとしてクラッシュします。   seosd がインターセプトを設定しているときに、インターセプトのコードを入力しないでください。  
54 3 UNIX エンドポイント カーネル モード システムがクラッシュする問題を修正します。 AN02261 Linux x64 NULL pointer fp->f_op->read   アクセス前に fp-->f_op-->read を確認します。 顧客は、12.5 SP5 および 12.8 の両方で、システム クラッシュに直面します。
SEOS_exec_file_is_script() がこのポインタをコールしました。
55 3 UNIX エンドポイント ユーザ モード 問題を調査するために、cmdlog がデバッグされる問題を修正します。 AN02265 すべての UNIX     cmdlog デバッグ ログ ファイル  
56 2 UNIX エンドポイント カーネル モード 所有者が NFS ファイル システムでスクリプトまたは実行可能ファイルの実行に失敗する問題を修正します。 AN02254 AIX NFS ファイル システムがマウントされて、anon が -2 に設定されているときに、SEOS カーネルは vnode および etc を root として検索します。 get_realname() fails with EACCES. get_realname() が失敗すると、check_execve() による 'allow' の設定も失敗します。  NFS ファイル システムは anon = -2 でエクスポートされます。 get_realname() とその子関数が、root の認証情報を使用して検索に失敗したら、ユーザ認証情報の使用を再試行します。 get_realname() が失敗すると、bypass_realpath のような動作が設定されます。 1. AIX NFS サーバで NFS ファイル システムを作成します。
2. ファイル システムをエクスポートして、anon のデフォルト設定 02 を使用します。
3. 700 のアクセス権限モードがあるテスト ディレクトリを作成して、クライアント システムで、所有者をユーザの uid に設定します。 テスト ディレクトリで、簡単なスクリプトを作成します。
4. AIX NFS クライアントにファイル システムをマウントします。
5. 所有者として、テスト スクリプトを実行します。 これは許可する必要があります。 root としてテスト スクリプトを再実行します。これは拒否する必要があります。
6. CA ControlMinder を開始します。
7. root としてテスト スクリプトを実行します。これは拒否される必要があります。 
8. 所有者としてテスト スクリプトを実行します。これは失敗します。 
57 3 UNIX エンドポイント ユーザ モード 起動時に監査ログが見つからないために、ReportAgent が UARM への kbl 監査ログの送信に失敗する問題を修正します。 AN02237 すべての UNIX ReportAgent のコード バグ。 ReportAgent は、audit_log のデフォルト値のみを使用します。 seos.ini からの audit_log の値の取得は試行されません。 デフォルト値と異なる audit_log のパスを設定します。 フィクス ReportAgent を適用するか、または audit_log のデフォルトのパスを使用します。 1. seos.ini を開いて、kblaudit の audit_log を顧客パスに設定します。 
以下に例を示します。
[kblaudit]
audit_log = /tmp/mydir/kbl.audit
 
2. レポート エージェントを開始します。 kblaudit.log で以下のエラーがレポートされます。 
 
** eaclog error: failed to initialize EACLOG object, - pFun_eacLog_Init
INFO: audit2elm_RestorePosition: no position file found
 
期待: KBL ログがサーバ側に送信されます。
実際: KBL ログはサーバ側に送信されません。
58 3 UNAB keytab ファイルが大きくなりすぎた場合に、Kerberos エラーを回避するために、keytab ファイルがトリムされる問題を修正します。 AN02240 Solaris x86        
59 3 UNIX エンドポイント ユーザ モード AgentManager を有効にするために、agent_manager.sh に設定スクリプトを追加する問題を修正します。 AN02228 すべての UNIX AgentManager の設定に失敗しました。     # ./agent_manager.sh config
and check seos.ini.
 
[seoswd]
agent_manager_check_enabled = yes
[daemons]
AgentManager = yes, /opt/CA/AccessControlShared/lbin/agent_manager.sh start
[PUPMAgent]
OperationMode = 1
 
Check /opt/CA/AccessControlShared/accommon.ini.
[AgentManager]
Plugins = PupmAgent
OperationMode = 1
 
Start CA ControlMinder and then run
AC>su +agentmanager 
AC>sr SPECIALPGM /opt/CA/AccessControlShared/bin/AgentManager 
60 2 UNIX エンドポイント ユーザ モード HP-UX システムで、ユーザがログオフすると、KBLAudMgr (seagent) が utmp の適切な更新に失敗する問題を修正します。 AN02231 HP PA-RISC / IA64 KBLAudMgr (seagent) は、ユーザがログオフすると、utmp の適切な更新に失敗します。    ユーザがログオフするときに、DEAD_PROCESS をマークする utmp を更新します。 1. ベースラインを確立するために、CA ControlMinder を起動する前に、 "who -u" を実行します。
2. seos.ini で KBL を有効にします。
3. CA ControlMinder を開始します。
4. "who -u" を実行して、再度確認します。
5. test user 1 (別のセッション)として、システムに接続します。
6. "who -u" を実行して、変更を確認します。 test user 1 のエントリが 2 つ存在している必要があります。
7. test user 2 (別のセッション)として、システムに接続します。
8. "who -u" を実行して、変更を確認します。 test user 2 のエントリが 2 つ存在している必要があります。
9. test user 1 が存在します。
10. "who -u" を実行して、test user 1 のエントリのうちの 1 つがまだそこに存在していることを確認します。
11. test user 2 が存在します。
12. "who -u" を実行して、test user 2 のエントリのうちの 1 つがまだそこに存在していることを確認します。
13. test user 3 として、このシステムに接続します。
14. test user 3 が存在します。
15. "who -u" を実行して、test user 3 のエントリのうちの 1 つがまだそこに存在していますが、test user 1 または test user 2 に置き換えたことを確認します。  
61 3 UNIX エンドポイント ユーザ モード seos.audit ログの FILE レコードで間違った session_id が作成される問題を修正します。 2 人のユーザがシステムに ログインして、ファイル アクセスを実行します。 2 番目のユーザのセッション ではなく、1 番目のユーザのセッション id が適切に修正されます。 AN02219 すべての Linux psvrb->session_id が(キャッシュされた値から)古い session_id を割り当てるため、監査ログの session_id が適切ではありません。   トークン osuser_enable の値を yes に変更します。 RHEL に CA ControlMinder をインストールします。
seos.ini
[OS_user]
osuser_enable = no
create_user_in_db = yes
 
ルール
AC> nf /tmp/samples.txt owner(nobody) audit(all) defacc(all)
 
ケース 1 のユーザ: (ネイティブでのユーザのみ)
# useradd testuser_a
# useradd testuser_b
# passwd testuser_a
<パスワード入力>
# passwd testsuer_b
<パスワード入力>
 
ケース 2 のユーザ: (seosdb とネイティブの両方でのユーザ)
# Selang
AC> nu test001 password(password)
AC> nu test002 password(password)
 
手順
 
1. CA ControlMinder を停止して起動します。
# secons -s
# seload
 
2. ログイン testuser_a (ssh または telnet)
$ date;cat /tmp/sample.txt
$ date;cat /tmp/sample.txt
$ exit
 
3. ログイン testuser_b (ssh または telnet)
$ date;cat /tmp/sample.txt
$ date;cat /tmp/sample.txt
$ exit
 
4. 監査ログを確認すると、以下の出力が表示されます。
 
# seaudit -a -sessionid (例)
4-1 13 Aug 2014 20:21:36 P LOGIN testuser_a 53ec00f2:00000144 59 2 localhost SSH
4-2 13 Aug 2014 20:21:50 P FILE testuser_a 53ec00f2:00000144 Read 59 3 /tmp/sample.txt /bin/cat localhost testuser_a
4-3 13 Aug 2014 20:21:55 P FILE testuser_a 53ec00f2:00000144 Read 59 3 /tmp/sample.txt /bin/cat localhost testuser_a
4-4 13 Aug 2014 20:22:29 P LOGIN testuser_b 53ec00f2:00000145 59 2 localhost SSH
4-5 13 Aug 2014 20:22:45 P FILE testuser_b 53ec00f2:00000145 Read 59 3 /tmp/sample.txt /bin/cat localhost testuser_b
4-6 13 Aug 2014 20:22:51 P FILE testuser_b 53ec00f2:00000145 Read 59 3 /tmp/sample.txt /bin/cat localhost testuser_b
 
4-1 から 4-4 までのセッション id は OK ですが、4-5 の sessionid は不適切です。 " 53ec00f2:00000144" ではなく、" 53ec00f2:00000145" である必要があります。

Click here to view Page Two.