FILE 클래스

FILE 클래스의 각 레코드는 특정 파일이나 디렉터리 또는 파일 이름 패턴과 일치하는 파일에 대해 허용된 액세스를 정의합니다. 파일을 아직 생성하지 않은 경우에도 규칙을 정의할 수 있습니다.
cminder12901kr
FILE 클래스의 각 레코드는 특정 파일이나 디렉터리 또는 파일 이름 패턴과 일치하는 파일에 대해 허용된 액세스를 정의합니다. 파일을 아직 생성하지 않은 경우에도 규칙을 정의할 수 있습니다.
다른 파일과 마찬가지로 장치 파일 및 심볼릭 링크도 보호될 수 있습니다. 그러나 링크를 보호한다고 해서 링크가 가리키는 파일이 자동으로 보호되는 것은 아닙니다.
참고:
NTFS 파일 시스템에서 FILE 클래스의 레코드는 파일 스트림에 대한 액세스도 정의합니다.
스크립트를 파일로 정의할 때 파일에 대한
읽기
실행
액세스 권한을 모두 허용하십시오. 바이너리를 정의할 때는
실행
액세스 권한만으로 충분합니다.
special_restricted
그룹 외부의 사용자인 경우 FILE 클래스의
_default
레코드(_default 레코드가 없으면 UACC 클래스에 있는 FILE의 레코드)는 seos.ini, seosd.trace, seos.audit 및 seos.error 파일과 같이
Privileged Identity Manager
에 포함된 파일만 보호
합니다. 이러한 파일은
Privileged Identity Manager
에 명시적으로 정의되어 있지 않지만
Privileged Identity Manager
에서 자동으로 보호됩니다.
참고:
Privileged Identity Manager
는 FILE 클래스가 아닌 PROGRAM 클래스를 사용하여
setuid
setgid
프로그램을 보호합니다.
FILE 클래스 레코드의 키는 레코드로 보호된 파일 또는 디렉터리의 이름입니다. 전체 경로를 지정해야 합니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.
  • ACL
    리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹)와 접근자 액세스 유형의 목록을 정의합니다. ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다. ACL을 수정하려면 authorize 또는 authorize- 명령과 함께 Access 매개 변수를 사용하십시오.
  • CALACL
    리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 달력 상태에 따라 정의합니다. CALACL(달력 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • Calendar
      Unicenter TNG의 일정에 대한 참조를 정의합니다. 달력 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다. 액세스는 일정이 ON일 때만 허용되고, 다른 모든 경우에는 액세스가 거부됩니다.
  • CALENDAR
    Privileged Identity Manager
    에서의 사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 달력 개체를 나타냅니다.  
    Privileged Identity Manager
    는 지정된 시간 간격으로 Unicenter TNG 활성 달력을 가져옵니다.
  • CATEGORY
    사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
  • COMMENT
    레코드에 포함할 추가 정보를 정의합니다.  
    Privileged Identity Manager
    는 권한 부여를 위해 이 정보를 사용하지 않습니다.
    제한:
    255자
  • CREATE_TIME
    (정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
  • DAYTIME
    접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.
    이 속성을 수정하려면
    chres
    ,
    ch[x]usr
    또는
    ch[x]grp
    명령과 함께 restrictions 매개 변수를 사용하십시오. daytime restrictions의 확인은 1분입니다.
  • 그룹
    리소스 레코드가 속하는 GFILE 또는 CONTAINER 레코드 목록입니다.
    DB 속성:
     GROUPS
    FILE 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GFILE 레코드에서 MEMBERS 속성을 변경하십시오.
    이 속성을 수정하려면
    chres
    ,
    editres
     또는
    newres
     명령과 함께
    mem+
     또는
    mem-
    매개 변수를 사용하십시오.
  • NACL
    리소스의
    NACL
    속성은 액세스 제어 목록입니다. 이 목록에서는 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의합니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • 액세스
      접근자에게 거부되는 액세스 유형을 정의합니다. 이 속성을 수정하려면
      authorize deniedaccess
      또는
      authorize- deniedaccess-
      명령을 사용하십시오.
  • NOTIFY
    리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다.  
    Privileged Identity Manager
    는 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.
    제한:
    30자
  • OWNER
    레코드를 소유하는 사용자 또는 그룹을 정의합니다.
  • PACL
    특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • Program
      PROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
      참고:
      PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.
    PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(
    pgm
    ) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용하면 됩니다.
  • RAUDIT
    Privileged Identity Manager
    가 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은
    R
    esource
    AUDIT
    에서 온 것입니다. 유효한 값:
    • all
      모든 액세스 요청
    • success
      허용된 액세스 요청
    • failure
      거부된 액세스 요청(기본값).
    • none
      액세스 요청 없음
    Privileged Identity Manager
    는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록하지 않습니다. 감사 모드를 수정하려면
     chres
     chfile 
    명령의 audit 매개 변수를 사용하십시오.
  • SECLABEL
    사용자나 리소스의 보안 레이블을 정의합니다.
    참고:
    SECLABEL 속성은
    chres
    ch[x]usr
    명령의 label[-] 매개 변수에 해당합니다.
  • SECLEVEL
    접근자 또는 리소스의 보안 수준을 정의합니다. 이 속성은
    ch[x]usr
    chres
    명령의 level[-] 매개 변수에 해당합니다.
  • UACC
    리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은
    Privileged Identity Manager
    에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.
    이 속성을 수정하려면
    chres
    ,
    editres
     또는
    newres 
     명령과 함께 
    defaccess
    매개 변수를 사용하십시오.
  • UNTRUST
    리소스가 언트러스트되는지, 트러스트되는지를 정의합니다. UNTRUST 속성이 설정되면 접근자는 리소스를 사용할 수 없습니다. UNTRUST 속성이 설정되지 않으면 리소스에 대한 데이터베이스에 나열된 다른 속성이 접근자의 액세스 권한을 결정하는 데 사용됩니다. 어떤 방식으로든 트러스트된 리소스가 변경되면
    Privileged Identity Manager
    는 자동으로 UNTRUST 속성을 설정합니다.
    이 속성을 수정하려면
    chres
    ,
     editres
    또는
    newres
    명령과 함께 trust[-] 매개 변수를 사용하십시오.
  • UPDATE_TIME
    (정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
  • UPDATE_WHO
    (정보) 업데이트를 수행한 관리자를 표시합니다.
  • WARNING
    경고 모드의 활성화 여부를 지정합니다. 리소스에 경고 모드를 활성화하면 리소스에 대한 모든 액세스 요청이 허가됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 레코드가 감사 로그에 기록됩니다.
예:
이 예에서는 Unix/Linux 끝점에서 FILE 클래스를 사용하여 파일에 대한 사용자 액세스 권한을 제한하는 방법을 보여 줍니다. 
1 단계:
"/home/my_home/hello.c" 파일을 생성합니다.
AC> nf /home/my_home/hello.c
2 단계:
파일이 생성되면 기본적으로 모든 사용자가 읽기 액세스 권한을 갖습니다. "/home/my_home/hello.c" 파일에 대한 기본 사용자 액세스 권한을 제한하는 정책을 생성합니다. 이 정책은 슈퍼 사용자(예: root)도 파일에 액세스하지 못하도록 제한합니다.
AC> er FILE("/home/my_home/hello.c") audit(all) owner(nobody) defaccess(none) 
3 단계:
 "/home/my_home/hello.c" 파일의 세부 정보를 봅니다.
AC> sr FILE /home/my_home/hello.c
(localhost)
Data for FILE '/home/my_home/hello.c'
-----------------------------------------------------------
Defaccess : None
Audit mode : All
Owner : nobody (USER )
Create time : 13-Feb-2017 14:58
Update time : 13-Feb-2017 15:04
Updated by : root (USER )
4 단계:
사용자가 호스트에 로그인하고 "/home/my_home/hello.c" 파일에 액세스하려고 합니다. 이 정책은 사용자가 이 파일에 액세스하지 못하도록 제한합니다.
Host_Machine_Name> ls -l /home/my_home/hello.c
/bin/ls: cannot access /home/my_home/hello.c: Permission denied
5 단계
: 슈퍼 사용자(root)에게 이 파일에 대한 액세스 권한을 부여하는 정책을 생성합니다.
AC> AUTHORIZE FILE("/home/my_home/hello.c") uid(root) access(a) 
6 단계
: "/home/my_home/hello.c" 세부 정보를 봅니다.
AC> sr file /home/my_home/hello.c
(localhost)
Data for FILE '/home/my_home/hello.c'
-----------------------------------------------------------
Defaccess : None
ACLs :
Accessor Access
root (USER ) R, W, X, Cre, Del, Chown, Chmod, Utime, Sec, Rename, Chdir
Audit mode : All
Owner : nobody (USER )
Create time : 13-Feb-2017 14:58
Update time : 16-Feb-2017 17:54
Updated by : root (USER )