TCP 클래스
TCP 클래스의 각 레코드는 메일, ftp 및 http와 같은 TCP/IP 서비스를 정의합니다. TCP 클래스가 권한 부여에 사용되고 있으면, TCP 리소스가 액세스를 허용하는 경우에만 호스트는 로컬 호스트에서 서비스를 가져올 수 있습니다. 또한 TCP 리소스가 액세스를 허용하는 경우에만 로컬 호스트의 사용자나 그룹은 TCP/IP 서비스를 사용하여 원격 호스트에 액세스할 수 있습니다.
cminder140kr
TCP 클래스의 각 레코드는 메일, ftp 및 http와 같은 TCP/IP 서비스를 정의합니다. TCP 클래스가 권한 부여에 사용되고 있으면, TCP 리소스가 액세스를 허용하는 경우에만 호스트는 로컬 호스트에서 서비스를 가져올 수 있습니다. 또한 TCP 리소스가 액세스를 허용하는 경우에만 로컬 호스트의 사용자나 그룹은 TCP/IP 서비스를 사용하여 원격 호스트에 액세스할 수 있습니다.
TCP 레코드의 ACL은 호스트(HOST), 호스트 그룹(GHOST), 네트워크(HOSTNET) 및 호스트 집합(HOSTNP)에 대한 액세스 유형을 지정할 수 있습니다.
TCP 레코드의 CACL은 호스트(HOST), 호스트 그룹(GHOST), 네트워크(HOSTNET) 및 호스트 집합(HOSTNP)에 대한 액세스 유형을 지정할 수 있으며, 사용자 및 그룹에 대한 액세스 유형도 지정할 수 있습니다.
호스트 이름뿐 아니라 IPv4 주소를 기반으로 하여 규칙을 설정할 수 있습니다. 이는 도메인 이름 변경에 대비할 수 있음을 의미합니다.
참고:
IP 통신에 대한 Privileged Access Manager Server Control
액세스 규칙은 IPv4에만 적용됩니다. Privileged Access Manager Server Control
은 IPv6에 의한 액세스를 제어하지 않습니다.참고:
액세스 조건으로 CONNECT 클래스가 사용되는 경우 TCP 클래스는 액세스를 효과적으로 제어할 수 없습니다. 연결 보호를 위해 TCP 클래스와 CONNECT 클래스 중 하나만 사용하십시오.TCP 레코드의 키는 TCP/IP 서비스를 나타내는 이름입니다. TCP 클래스는 나가는 서비스와 들어오는 서비스를 모두 제어합니다.
다음 정의는 TCP 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACL로컬 호스트가 서비스를 제공하는 호스트 및 허용되는 액세스 유형을 정의합니다.액세스 제어 목록에 있는 각 요소는 다음 정보를 포함합니다.
- 호스트 참조HOST, GHOST, HOSTNET 또는 HOSTNP 레코드를 정의합니다.
- 허용된 액세스참조된 호스트가 리소스에 대해 갖는 액세스 권한입니다. 유효한 액세스 권한은 다음과 같습니다.
- none-호스트가 어떤 작업도 수행할 수 없습니다.
- read-호스트가 로컬 호스트에서 TCP 서비스를 가져올 수 있습니다.
- CACL액세스할 수 있는 리소스 및 호스트에 대한 액세스가 허용된 접근자(사용자 및 그룹) 목록 CACL(조건부 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 호스트 참조HOST, GHOST, HOSTNET 또는 HOSTNP 레코드를 정의합니다.
- Access접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다. 유효한 액세스 유형은 다음과 같습니다.
- write- 접근자가 이 서비스를 사용하여 호스트 또는 호스트 그룹에 액세스할 수 있습니다.
- none- 접근자가 이 서비스를 사용하여 호스트 또는 호스트 그룹에 액세스할 수 없습니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다.Privileged Access Manager Server Control은 권한 부여를 위해 이 정보를 사용하지 않습니다.제한:255자
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.daytime restrictions의 확인은 1분입니다.
- GROUPS리소스 레코드가 소속되는 CONTAINER 레코드 목록을 정의합니다.클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 레코드에서 MEMBERS 속성을 변경해야 합니다.이 속성을 수정하려면 mem+ 또는 mem- 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- NACL리소스의NACL속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다.이 속성을 수정하려면 authorize deniedaccess 명령 또는 authorize- deniedaccess- 명령을 사용하십시오.
- NOTIFY리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다.Privileged Access Manager Server Control은 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.제한:30자.
- OWNER레코드를 소유하는 사용자 또는 그룹을 정의합니다.
- RAUDITPrivileged Access Manager Server Control이 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은ResourceAUDIT에서 온 것입니다. 유효한 값:
- all모든 액세스 요청.
- success허용된 액세스 요청.
- failure거부된 액세스 요청(기본값).
- none
- 액세스 요청 없음.Privileged Access Manager Server Control는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록하지 않습니다.
- UACC리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은Privileged Access Manager Server Control에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.이 속성을 수정하려면 defaccess 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- UPDATE_TIME(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
- UPDATE_WHO(정보) 업데이트를 수행한 관리자를 표시합니다.
- WARNING경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 리소스에 대한 모든 액세스 요청이 허용됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.
예 1:
원격 호스트에서 텔넷을 사용하여 들어오는 연결을 방지합니다.1 단계:
HOST 및 CONNECT 클래스를 비활성화하고 TCP 클래스를 활성화합니다.AC> so class-(HOST)AC> so class-(CONNECT)AC> so class+(TCP)
2 단계:
/etc/hosts에 원격 호스트(My_Remote_Host.example.com)를 추가합니다. 명령 프롬프트에서 다음 명령을 실행하십시오.vi /etc/hosts
3 단계:
네트워크 차단을 위해서는 원격 호스트 주소를 사용하여 lookahead 데이터베이스 "ladb"를 올바르게 입력해야 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 실행하십시오../sebuildla -h
4 단계:
명령 프롬프트에서 다음 명령을 실행하여 원격 호스트(My_Remote_Host.example.com)가 /etc/hosts에 추가되었는지 확인합니다../sebuildla -H
5 단계:
들어오는 텔넷 연결을 방지할 원격 호스트(My_Remote_Host.example.com)를 정의합니다.AC> nr HOST My_Remote_Host.example.com
6 단계:
나가는 텔넷 연결을 허용할 텔넷 서비스의 TCP 리소스를 정의합니다.AC> nr TCP telnet owner(nobody) defaccess(w)
7 단계:
원격 호스트(My_Remote_Host.example.com)에서 텔넷을 사용하여 들어오는 연결을 방지하는 규칙을 설정합니다.AC> authorize TCP telnet HOST(My_Remote_Host.example.com) access(n)
8 단계:
원격 호스트에서 텔넷을 사용하여 Privileged Access Manager Server Control
끝점에 연결을 시도합니다. 연결이 실패하지만 다른 연결은 영향을 받지 않습니다.예 2:
사용자가 텔넷 서비스를 사용하여 모든 원격 호스트에 액세스하지 못하도록 방지1 단계:
HOST 및 CONNECT 클래스를 비활성화하고 TCP 클래스를 활성화합니다.AC> so class-(HOST)AC> so class-(CONNECT)AC> so class+(TCP)
2 단계:
명령 프롬프트에서 다음 명령을 실행하여 모든 원격 호스트를 /etc/hosts에 추가합니다.vi /etc/hosts
3 단계:
네트워크 차단을 위해서는 원격 호스트 주소를 사용하여 lookahead 데이터베이스 "ladb"를 올바르게 입력해야 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 실행하십시오../sebuildla -h
4 단계:
모든 원격 호스트를 포함하는 호스트 이름 패턴을 생성하여 원격 호스트를 리소스로 정의합니다.AC> nr HOSTNP *
5 단계:
모든 원격 호스트에 액세스하는 사용자(john)를 거부하는 규칙을 설정합니다.AC> auth TCP telnet uid(john) hostnp(*) access(n)
6 단계:
john으로 로그인하고 텔넷을 사용하여 임의의 원격 호스트에 액세스를 시도합니다. 연결이 실패합니다.