使用 chfile 命令修改文件记录
在 AC 环境中有效
cminder12901cn
在 AC 环境中有效
使用 chfile、editfile 和 newfile 命令可以处理 FILE 类中的记录。 这些命令结构相同,仅在以下方面有所不同:
- chfile 命令可用于在 FILE 类中修改一个或多个记录。
- editfile 命令可用于在 FILE 类中创建或修改一个或多个记录。
- newfile 命令可用于在 FILE 类中创建一个或多个记录。
注意:
此命令也存在于本地环境中,但是操作方式不同。要添加或更改属于 FILE 类的文件记录,您必须对该文件拥有足够的权限。 可以进行以下检查,直到满足以下条件之一:
- 您具有 ADMIN 属性。
- 资源记录在某一组的范围内,您在该组中具有 GROUP-ADMIN 属性。
- 更改记录时,您是记录的所有者。
- 您在 ADMIN 类中的文件记录的 ACL 中具有 CREATE(对于 newfile 或 editfile)或 MODIFY(对于 chfile)访问权限。
- 如果将 seos.ini 文件的标记 use_unix_file_owner 设置为“yes”,那么您就是文件的所有者(将文件定义为本机操作系统中的Privileged Identity Manager时)。
{{chfile|cf}|{editfile|ef}|{newfile|nf}} filename... \
[audit{none|all|success|failure}] \ [category[-](categoryName)] \ [comment(string)|comment-] \ [defaccess(accessAuthority)] \ [label(labelName)|label-] \ [level(number)|level-] \ [notify(mailAddress)|notify-] \ [gowner(groupName)] \ [owner({userName|groupName})] \ [restrictions( \[days({anyday|weekdays|{[mon] [tue] [wed] \ [thu] [fri] [sat] [sun]}})] \[time({anytime|startTime:endTime}) \ |restrictions-] \ [warning|warning-]
- audit{none|all|success|failure}指定记录哪些访问事件。 访问类型包括:
- all- 记录授权访问和检测到的未经授权的访问尝试。
- failure- 记录检测到的未经授权的访问尝试。 这是默认值。
- none- 记录不写入日志文件中。
- success- 记录对资源的授权访问。
注意:要使用审核参数,您必须具有 AUDITOR 属性。 - category(categoryName)定义安全类别记录(在 CATEGORY 类中定义)的空格或逗号分隔的列表,以便分配给文件。如果在 CATEGORY 类为不活动状态时指定类别参数, 则更新数据库中的文件定义;但是,更新的类别分配没有任何效果,直到 CATEGORY 类重新激活。注意:有关安全类别检查的详细信息,请参阅适用于操作系统的《端点管理指南》。
- category-(categoryName)从资源记录删除一个或多个安全类别。 删除多个安全类别时,请以空格或逗号分隔这些安全类别名。将从资源记录中删除指定的安全类别,无论 CATEGORY 类是否处于活动状态。注意:此参数只有在修改记录时有效。
- comment(string)将字母数字字符串添加到组记录中。 如果先前将注释字符串添加到组记录中,那么在此指定的新字符串会替换现有字符串。格式:最多 255 个字符,包括双字节字符和特殊字符。 如果字符串包含任何空格,用引号将该字符串引起来。
- comment-从文件记录中删除注释字符串。注意:此参数只有在修改记录时有效。
- defaccess(accessAuthority)指定文件的默认访问权限。 默认访问权限是授予请求访问文件的任何访问者的权限,但不在文件的访问控制列表中。 默认访问权限还可应用于未在数据库中定义的用户。
- fileName定义文件记录的名称。 必须至少指定一个文件名。如果您正在使用常规文件名添加或更改类 FILE 中的记录,请使用 selang 允许的通配符表达式。 定义或更改多个记录时,用圆括号括住文件名列表,并以空格或逗号分隔文件名。注意:如果指定多个文件名, 可根据指定的参数单独处理每个文件记录。 如果在处理文件时发生错误,则会触发消息,然后继续处理列表中的下一个文件。
- gowner(groupName)将组分配为文件记录的所有者。 如果有足够的允许访问该文件的组所有者的安全级别、安全标签和安全类别权限,那么文件记录的组所有者对该文件有无限制的访问权限。 文件的组所有者始终有更新和删除文件记录的权限。
- label(labelName)将在 SECLABEL 类中定义的安全标签分配给文件。 安全标签代表特定安全级别与零或多个安全类别之间的关联。 如果资源记录当前包含安全标签,那么在此指定的安全标签会替换当前的安全标签。注意:有关安全标签检查的详细信息,请参阅适用于您的操作系统的《端点管理指南》。
- label-删除文件记录中定义的安全标签。注意:此参数只有在修改记录时有效。
- level(number)将安全级别分配给资源记录。 输入1 到 255 之间的正整数。 如果安全级别先前被分配给资源记录,新值则替换现有值。注意:有关安全级别检查的详细信息,请参阅适用于您的操作系统的《端点管理指南》。
- level-停止Privileged Identity Manager执行检查资源的安全级别。注意:此参数只有在修改记录时有效。
- notify(mailAddress)成功访问资源记录所代表的文件时,将指导发送通知消息。 请输入用户名、用户的电子邮件地址或邮件组的电子邮件地址(如果指定了别名)。只有在日志路由系统处于活动状态时,才会发生通知。 通知消息是发送到屏幕上还是发送到用户的邮箱取决于日志路由系统的设置。每次发送通知消息时,都会在审核日志中写入审核记录。通知信息的收件人应频繁登录以响应在每个消息中描述的未经授权的访问尝试。限制:30 个字符。注意:有关筛选和查看审核记录的信息,请参阅适用于您的操作系统的《端点管理指南》。
- notify-指定不通知任何人有关授权给由记录代表的文件的访问权限。注意:此参数只有在修改记录时有效。
- owner(Name)将用户或组分配为文件记录的所有者。 如果有足够的允许访问该文件的所有者的安全级别、安全标签和安全类别权限,那么文件记录的所有者对该文件有无限制的访问权限。 总是允许文件的所有者更新和删除文件记录。
- restrictions(days(dayData) time(timeData))指定用户可在一周的哪几天和一天的哪几个小时访问文件。如果您省略 days 参数而指定 time 参数,时间限制将应用至记录中已指出的任意周内限制。 如果您省略 time 而指定 days,则天数限制将应用于记录中已经指出的任何“时间”限制。 如果既指定 days 也指定 time,则只允许用户在指定天数的指定时间期间允许访问系统。
- days(dayData)指定用户可以访问文件的天数。 Days 参数采用以下子参数:
- anyday-可在任何一天访问该文件。
- weekdays-只可在周一到周五的时间访问该资源。
- mon tue wed thu fri sat sun-只可在指定天数访问该资源。 您可以按任何顺序指定天数。 如果指定多个天数,请使用空格或逗号分隔各天。
- time(timeData)指定用户可以访问文件的时段。 Time 参数采用以下子参数:
- anytime-可在一天中的任何时候访问该资源。
- startTime:endTime-只可在指定时段访问该资源。startTime和endTime的格式均为hhmm,其中hh为 24 小时制(00 到 23),mm表示分钟(00 到 59)。 请注意,2400 是无效时间值。StartTime必须小于endTime,且这两个时间必须在同一天发生。 如果终端位于处理器的不同时区,那么通过将终端的开始和结束时间解析为处理器的等同当地时间来对时间值进行调整。 例如,如果处理器位于纽约而终端位于洛杉矶,那么要允许从上午 8:00 到下午 5:00 在洛杉矶访问终端,请指定时间 (1100:2000)。
- restrictions-删除限制文件访问功能的所有限制。注意:此参数只有在修改记录时有效。
- warning将文件置于“警告”模式。
- warning-使文件退出“警告”模式。
示例:将对文件的访问权限限制为除超级用户之外的所有用户
要限制除超级用户以外所有用户对 /etc/passwd 文件的读取访问权限,请输入以下命令:
chfile /etc/passwd defaccess(read) owner(root)
必须符合以下条件:
- 您具有 ADMIN 属性。
- 在数据库中定义记录 /etc/passwd。
- 在记录 /etc/passwd 的 ACL 中没有条目。
示例:将对文件的访问权限限制为按时间
要阻止访问 /home/bob/secrets 文件,并允许所有者在 08:00 到 18:00 之间的工作日访问文件,请输入以下命令:
newfile /home/bob/secrets defac(none) restrictions(d(weekdays) t(0800:1800))
必须符合以下条件:
- 您具有 ADMIN 属性。
- Bob 是 用户,并且是 FILE 类中 /home/ bob/secrets 记录的所有者。
示例:阻止对您主目录的访问
要禁止所有其他用户访问您的主目录
(
home/bob) 中的任何文件,请在 UNIX 上输入以下命令:newfile /home/bob/* defaccess(none)
您可以使用以下命令在 Windows 上执行相同操作:
newfile %userprofile%\* defaccess(none)
必须符合以下条件:
- 已定义Privileged Identity Manager。
- 您是该文件的本地所有者。