因为不同的用户可能使用Veriexec有不同的目的, 我们也定义了4种不同的级别, 范围是 0-3, 并命名为 “learning”, “IDS”, “IPS”, 和 “lockdown” 模式.
在 级别 0, learning模式, Veriexec仅是被动地和简单地警告所有的异常情况. 结合有详细信息的级别 1, 在此模式下运行系统能帮助您更好地调整签名文件. 这也是唯一一个你可以向内核加载新选项的级别。
级别 1, 或称 IDS 模式, 将拒绝指纹不匹配的文件访问. 这种模式通常适合用户想防止一个攻击者对文件的恶意修改。
级别 2, IPS 模式, 进一步尝试更好地保护文件的完整性. 另外可以防止用不匹配的指纹对文件进行访问, 它也可以拒绝写操作记忆防止监视的文件被删除, 并且限制被监视文件的被访问方式. (作为特定的签名文件).
Lockdown 模式 (级别 3) 可以用在高度危险的情况下,诸如定制的特殊用途的机器, 或者当作攻击者危害系统后的最后一道防线以及防止入侵痕迹被删除, 这样我们可以进行"亡羊补牢"式的分析. 它禁止创建新文件, 以及拒绝访问未经Veriexec监视的文件.
我们推荐先以级别0运行Veriexec,然后以级别1运行verbose,以便微调签名文件, 确保所需的应用程序运行正确, 然后仅在此时升高限制级别 (和降低verbosity级别). 你可以使用 /etc/sysctl.conf 在重新启动后自动升高限制级别:
[INDENT] kern.veriexec.strict=1
[/INDENT]
《NetBSD指南-19.4.严格的等级》
版主: lionux
在线用户
正浏览此版面之用户: 没有注册用户 和 0 访客