FILE 클래스
FILE 클래스의 각 레코드는 특정 파일이나 디렉터리 또는 파일 이름 패턴과 일치하는 파일에 대해 허용된 액세스를 정의합니다. 파일을 아직 생성하지 않은 경우에도 규칙을 정의할 수 있습니다.
cminder140kr
FILE 클래스의 각 레코드는 특정 파일이나 디렉터리 또는 파일 이름 패턴과 일치하는 파일에 대해 허용된 액세스를 정의합니다. 파일을 아직 생성하지 않은 경우에도 규칙을 정의할 수 있습니다.
다른 파일과 마찬가지로 장치 파일 및 심볼릭 링크도 보호될 수 있습니다. 그러나 링크를 보호한다고 해서 링크가 가리키는 파일이 자동으로 보호되는 것은 아닙니다.
참고:
NTFS 파일 시스템에서 FILE 클래스의 레코드는 파일 스트림에 대한 액세스도 정의합니다.스크립트를 파일로 정의할 때 파일에 대한
읽기
및 실행
액세스 권한을 모두 허용하십시오. 바이너리를 정의할 때는 실행
액세스 권한만으로 충분합니다.special_restricted
그룹 외부의 사용자인 경우 FILE 클래스의 _default
레코드(_default 레코드가 없으면 UACC 클래스에 있는 FILE의 레코드)는 seos.ini, seosd.trace, seos.audit 및 seos.error 파일과 같이 Privileged Access Manager Server Control
에 포함된 파일만 보호Privileged Access Manager Server Control
Privileged Access Manager Server Control
참고:
Privileged Access Manager Server Control
및setuid
프로그램을 보호합니다.setgid
FILE 클래스 레코드의 키는 레코드로 보호된 파일 또는 디렉터리의 이름입니다. 전체 경로를 지정해야 합니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACL리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹)와 접근자 액세스 유형의 목록을 정의합니다. ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다. ACL을 수정하려면 authorize 또는 authorize- 명령과 함께 Access 매개 변수를 사용하십시오.
- CALACL리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 달력 상태에 따라 정의합니다. CALACL(달력 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- CalendarUnicenter TNG의 달력에 대한 참조를 정의합니다. 달력 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다. 액세스는 달력이 ON일 때만 허용되고, 다른 모든 경우에는 액세스가 거부됩니다.
- CALENDAR에서의 사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 달력 개체를 나타냅니다.Privileged Access Manager Server Control는 지정된 시간 간격으로 Unicenter TNG 활성 달력을 가져옵니다.Privileged Access Manager Server Control
- CATEGORY사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다.은 권한 부여를 위해 이 정보를 사용하지 않습니다.Privileged Access Manager Server Control제한:255자
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.이 속성을 수정하려면chres,ch[x]usr또는ch[x]grp명령과 함께 restrictions 매개 변수를 사용하십시오. daytime restrictions의 확인은 1분입니다.
- 그룹리소스 레코드가 속하는 GFILE 또는 CONTAINER 레코드 목록입니다.DB 속성:GROUPSFILE 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GFILE 레코드에서 MEMBERS 속성을 변경하십시오.이 속성을 수정하려면chres,editres또는newres명령과 함께mem+또는mem-매개 변수를 사용하십시오.
- NACL리소스의NACL속성은 액세스 제어 목록입니다. 이 목록에서는 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의합니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다. 이 속성을 수정하려면authorize deniedaccess또는authorize- deniedaccess-명령을 사용하십시오.
- NOTIFY리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다.은 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.Privileged Access Manager Server Control제한:30자
- OWNER레코드를 소유하는 사용자 또는 그룹을 정의합니다.
- PACL특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- ProgramPROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.참고:PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.
pgm) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용하면 됩니다. - RAUDIT가 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은Privileged Access Manager Server ControlResourceAUDIT에서 온 것입니다. 유효한 값:
- all모든 액세스 요청
- success허용된 액세스 요청
- failure거부된 액세스 요청(기본값).
- none액세스 요청 없음
는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록하지 않습니다. 감사 모드를 수정하려면Privileged Access Manager Server Controlchres및chfile명령의 audit 매개 변수를 사용하십시오. - SECLABEL사용자나 리소스의 보안 레이블을 정의합니다.참고:SECLABEL 속성은
및chres
명령의 label[-] 매개 변수에 해당합니다.ch[x]usr - SECLEVEL접근자 또는 리소스의 보안 수준을 정의합니다. 이 속성은ch[x]usr및chres명령의 level[-] 매개 변수에 해당합니다.
- UACC리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.Privileged Access Manager Server Control이 속성을 수정하려면chres,editres또는newres명령과 함께defaccess매개 변수를 사용하십시오.
- UNTRUST리소스가 언트러스트되는지, 트러스트되는지를 정의합니다. UNTRUST 속성이 설정되면 접근자는 리소스를 사용할 수 없습니다. UNTRUST 속성이 설정되지 않으면 리소스에 대한 데이터베이스에 나열된 다른 속성이 접근자의 액세스 권한을 결정하는 데 사용됩니다. 어떤 방식으로든 트러스트된 리소스가 변경되면는 자동으로 UNTRUST 속성을 설정합니다.Privileged Access Manager Server Control이 속성을 수정하려면chres,editres또는newres명령과 함께 trust[-] 매개 변수를 사용하십시오.
- UPDATE_TIME(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
- UPDATE_WHO(정보) 업데이트를 수행한 관리자를 표시합니다.
- WARNING경고 모드의 활성화 여부를 지정합니다. 리소스에 경고 모드를 활성화하면 리소스에 대한 모든 액세스 요청이 허가됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 레코드가 감사 로그에 기록됩니다.
예:
이 예에서는 Unix/Linux 끝점에서 FILE 클래스를 사용하여 파일에 대한 사용자 액세스 권한을 제한하는 방법을 보여 줍니다. 1 단계:
"/home/my_home/hello.c" 파일을 생성합니다.AC> nf /home/my_home/hello.c
2 단계:
파일이 생성되면 기본적으로 모든 사용자가 읽기 액세스 권한을 갖습니다. "/home/my_home/hello.c" 파일에 대한 기본 사용자 액세스 권한을 제한하는 정책을 생성합니다. 이 정책은 슈퍼 사용자(예: root)도 파일에 액세스하지 못하도록 제한합니다.AC> er FILE("/home/my_home/hello.c") audit(all) owner(nobody) defaccess(none)
3 단계:
"/home/my_home/hello.c" 파일의 세부 정보를 봅니다.AC> sr FILE /home/my_home/hello.c(localhost)Data for FILE '/home/my_home/hello.c'-----------------------------------------------------------Defaccess : NoneAudit mode : AllOwner : nobody (USER )Create time : 13-Feb-2017 14:58Update time : 13-Feb-2017 15:04Updated by : root (USER )
4 단계:
사용자가 호스트에 로그인하고 "/home/my_home/hello.c" 파일에 액세스하려고 합니다. 이 정책은 사용자가 이 파일에 액세스하지 못하도록 제한합니다.Host_Machine_Name> ls -l /home/my_home/hello.c/bin/ls: cannot access /home/my_home/hello.c: Permission denied
5 단계
: 슈퍼 사용자(root)에게 이 파일에 대한 액세스 권한을 부여하는 정책을 생성합니다.AC> AUTHORIZE FILE("/home/my_home/hello.c") uid(root) access(a)
6 단계
: "/home/my_home/hello.c" 세부 정보를 봅니다.AC> sr file /home/my_home/hello.c(localhost)Data for FILE '/home/my_home/hello.c'-----------------------------------------------------------Defaccess : NoneACLs :Accessor Accessroot (USER ) R, W, X, Cre, Del, Chown, Chmod, Utime, Sec, Rename, ChdirAudit mode : AllOwner : nobody (USER )Create time : 13-Feb-2017 14:58Update time : 16-Feb-2017 17:54Updated by : root (USER )