PROGRAM 类
每个 PROGRAM 类中的记录均可定义被视为受信任计算基础一部分的程序。 该类中的程序被认定是绝无安全漏洞的,因为这些程序由 Watchdog 监控可确保不会被修改。 如果受信任的程序被更改, 会自动将该程序标记为不受信任并阻止该程序执行。 您也可以使用 BLOCKRUN 属性来允许或阻止执行不受信任的程序。
cminder12901cn
每个 PROGRAM 类中的记录均可定义被视为受信任计算基础一部分的程序。 该类中的程序被认定是绝无安全漏洞的,因为这些程序由 Watchdog 监控可确保不会被修改。 如果受信任的程序被更改,
Privileged Identity Manager
会自动将该程序标记为不受信任并阻止该程序执行。 您也可以使用 BLOCKRUN 属性来允许或阻止执行不受信任的程序。每个 PROGRAM 记录都包含定义有关可信任程序文件信息的几个属性。
用法注释:
- 在 UNIX 上,PROGRAM 类也可能包含未标记为 setuid 或 setgid 的程序。
- 您可以将任何程序定义为Privileged Identity Manager内的可信任程序。除非程序已在 PROGRAM 类中定义,否则不能在程序访问控制列表 (PACL) 中使用该程序。 但是,程序在添加到 PACL 后,会自动添加到 PROGRAM 类。
- 不能在 PROGRAM 类中定义目录。
PROGRAM 类记录的关键字是记录所保护程序的名称。 必须指定该文件的完整路径作为 objectname。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不能修改标记为
信息性
的属性。- ACCSTIME(信息性)。 上次访问记录的日期和时间。
- ACCSWHO(信息性)。 上次访问记录的管理员。
- ACL定义允许访问资源的访问者(用户和组)的列表以及访问者的访问类型。访问控制列表 (ACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Access定义访问者对资源的访问权限。
- BLOCKRUN指定是否检查程序是否受信任以及是否阻止执行不受信任的程序。 无论程序是 setuid 还是常规程序,都会阻止执行。在 chres、editres 和 newres 命令中使用 blockrun[-] 参数可以修改资源的此属性。
- CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- CATEGORY定义分配给用户或资源的一个或多个安全类别。
- COMMENT定义要包括在记录中的更多信息。 注释不用于授权。限制:255 个字符。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- GROUPS定义资源记录所属的 CONTAINER 记录的列表。要在类记录中修改此属性,请在相应的 CONTAINER 记录中更改 MEMBERS 属性。在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- MD5(信息性)。 文件的 RSA-MD5 签名。
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户
。
限制:
30 个字符。OWNER
定义拥有该记录的用户或组。
PACL
定义当访问请求由特定程序(或匹配名称模式的程序)发出时允许访问资源的访问者及其访问类型的列表。 程序访问控制列表 (PACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Program定义对 PROGRAM 类中的记录的引用(无论是特别引用还是通过通配符模式匹配引用)。
- Access定义访问者对资源的访问权限。
注意:
您可以使用通配符指定 PACL 中的资源。在 selang authorize 命令中使用 via(
pgm
) 参数可以将程序、访问者及其访问类型添加到 PACL。您可以使用 authorize- 命令从 PACL 删除访问者。注意:
对于 PROGRAM 类中的资源,PACL 仅适用于 UNIX 上的 setuid/setgid 程序或 Windows 上具有文件
资源的程序。 Privileged Identity Manager
会先检查文件资源记录,如果允许访问,则再检查程序资源记录。PGMINFO
定义由
Privileged Identity Manager
自动生成的程序信息。Watchdog 会自动验证此属性中存储的信息。 如果已被更改,程序会被认为不受信任。
您可以选择任何以下标志以从此验证过程中
排除
关联信息:- crc循环冗余检验和 MD5 签名。
- ctime(仅 UNIX)上一次文件状态更改的时间。
- device在 UNIX 中,文件所在的逻辑磁盘。 在 Windows 上,包含该文件的磁盘的驱动器号。
- group拥有程序文件的组。
- inode在 UNIX 上,程序文件的文件系统地址。 在 Windows 上,这没有任何意义。
- 模式程序文件的关联安全保护模式。
- mtime上次修改程序文件的时间。
- 所有者拥有程序文件的用户。
- sha1SHA1 签名。 这是一种可应用于程序或敏感文件的数字签名方法,被称为安全散列算法。
- size程序文件的大小。
在 chres、editres 或 newres 命令中使用 flags、flags+ 或 flags- 参数可以修改此属性中的标志。
RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。
SECLABEL
定义用户或资源的安全标签。
注意:
SECLABEL 属性对应于 chres 和 ch[x]usr 命令的 label[-] 参数。SECLEVEL
定义访问者或资源的安全级别。
注意:
该属性对应于 ch[x]usr 和 chres 命令的 level[-] 参数。UACC
定义资源的默认访问权限,即表示授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的权限。在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
UNTRUST
定义资源是否受信任。 如果设置 UNTRUST 属性,访问者将不能使用该资源。 如果未设置 UNTRUST 属性,则数据库中列出的该资源的其他属性将用于确定访问者的访问授权。 如果以任何方式更改了受信任的资源,则会自动设置 UNTRUST 属性。
在 chres、editres 或 newres 命令中使用 trust[-] 参数可以修改该属性。
UNTRUSTREASON
(信息性)。 程序取消受信任的原因。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。
WARNING
指定是否启用“警告”模式。 对资源启用警告模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会将记录写入审核日志中。