조건부 액세스 제어 목록 사용
파일 액세스에 사용되는 프로그램에서 파일 액세스 권한을 조건부로 만들 수 있습니다. 이 방법으로 파일 액세스를 조건부로 만드는 작업을 프로그램 경로 지정이라고 합니다.
capamsc141kr
파일 액세스에 사용되는 프로그램에서 파일 액세스 권한을 조건부로 만들 수 있습니다. 이 방법으로 파일 액세스를 조건부로 만드는 작업을 프로그램 경로 지정이라고 합니다.
참고:
파일에 액세스하도록 지정된 프로그램이 셸 스크립트인 경우 셸 스크립트의 첫 줄에는 #!/bin/sh가 있어야 합니다. 셸 스크립트는 #!/bin/sh 줄을 주석으로 인식하여 이 줄을 처리하지 않으므로 셸 스크립트를 # /home/test/test.sh 또는 # sh /home/test/test.sh 다음에서 실행하지 마십시오.예를 들어 다음 코드는 임의의 프로세스가 암호 변경 프로그램 /bin/passwd의 제어 하에 /etc/passwd 파일을 업데이트할 수 있도록 합니다. /bin/passwd에서 시작되지 않은 /etc/passwd 파일에 대한 모든 액세스 시도는 차단됩니다.
newres FILE /etc/passwd owner(nobody) defaccess(R) authorize FILE /etc/passwd gid(users) access(U) via(pgm(/bin/passwd))
newres 명령은
Privileged Access Manager Server Control
에 대한 /etc/passwd 파일을 정의합니다. 이 명령은 파일 소유자를 포함한 모든 사용자가 파일을 읽을 수 있도록 허용합니다. /bin/passwd 프로그램에서 액세스된 경우 authorize 명령을 통해 모든 사용자가 파일에 액세스할 수 있습니다. 암호 파일을 이러한 방식으로 보호하면 사용자가 /bin/passwd 프로그램을 사용하지 않는 경우 /etc/passwd 파일에 항목을 삽입하는 트로이 목마나 "users" 그룹의 사용자에 의한 암호 파일 업데이트가 차단됩니다.조건부 액세스 목록은 DBMS(데이터베이스 관리 시스템)의 파일에 대한 액세스를 제어하는 데도 유용합니다. 일반적으로 사용자가 데이터베이스 공급업체에서 제공한 프로그램과 유틸리티를 통해서만 해당 파일에 액세스할 수 있도록 하십시오. 다음 명령을 생각해 봅시다.
authorize FILE /usr/dbms/xyz uid(*) via(pgm(/usr/dbms/bin/pgm1)) access(U) authorize FILE /usr/dbms/xyz uid(*) via(pgm(/usr/dbms/bin/pgm2)) access(U)
DBMS 바이너리 디렉터리에 속한 프로그램 pgm1이나 pgm2에서 액세스하는 경우에는 이러한 authorize 명령 집합을 통해 모든
Privileged Access Manager Server Control
사용자가 DBMS 시스템의 xyz 파일에 액세스할 수 있습니다. 사용자 피연산자에 별표를 사용할 때는 주의하십시오. 별표는 Privileged Access Manager Server Control
에 정의된 모든 사용자를 나타냅니다. 별표를 사용하는 것은 개념적인 면에서 기본 액세스 권한과 유사합니다. 단, 기본 액세스 권한은 Privileged Access Manager Server Control
에 정의되지 않은 사용자에게도 적용됩니다. Privileged Access Manager Server Control
데이터베이스에 정의되지 않은 사용자에 대해서는 _undefined 그룹을 사용할 수 있습니다.