PROGRAM 클래스
PROGRAM 클래스의 각 레코드는 TCB(Trusted Computing Base)의 일부로 간주되는 프로그램을 정의합니다. 이 클래스의 프로그램은 수정되지 않도록 Watchdog에서 모니터링하므로 보안을 위반하지 않아 트러스트할 수 있습니다. 트러스트된 프로그램이 수정되면 가 자동으로 프로그램을 언트러스트된 상태로 표시하므로, 해당 프로그램은 실행되지 않습니다. 선택적으로 BLOCKRUN 속성을 사용하여, 언트러스트된 프로그램의 실행을 허용 또는 방지할 수 있습니다.
cminder12902kr
PROGRAM 클래스의 각 레코드는 TCB(Trusted Computing Base)의 일부로 간주되는 프로그램을 정의합니다. 이 클래스의 프로그램은 수정되지 않도록 Watchdog에서 모니터링하므로 보안을 위반하지 않아 트러스트할 수 있습니다. 트러스트된 프로그램이 수정되면
Privileged Identity Manager
가 자동으로 프로그램을 언트러스트된 상태로 표시하므로, 해당 프로그램은 실행되지 않습니다. 선택적으로 BLOCKRUN 속성을 사용하여, 언트러스트된 프로그램의 실행을 허용 또는 방지할 수 있습니다.각 PROGRAM 레코드에는 트러스트된 프로그램 파일에 대한 정보를 정의하는 몇 가지 속성이 있습니다.
참고:
- UNIX에서는 PROGRAM 클래스가 setuid 또는 setgid로 표시되지 않은 프로그램도 포함할 수 있습니다.
- 어떤 프로그램이든Privileged Identity Manager내에서 트러스트된 프로그램으로 정의할 수 있습니다.프로그램이 PROGRAM 클래스에 정의되지 않은 경우 PACL(프로그램 액세스 제어 목록)에서 사용할 수 없습니다. 하지만 프로그램은 PACL에 추가될 때 자동으로 PROGRAM 클래스에 추가됩니다.
- 디렉터리는 PROGRAM 클래스에 정의될 수 없습니다.
PROGRAM 클래스 레코드의 키는 레코드가 보호하는 프로그램의 파일 이름입니다. 파일의 전체 경로를 개체 이름으로 지정해야 합니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다.
정보
로 표시된 속성은 수정할 수 없습니다.- ACCSTIME(정보) 레코드에 마지막으로 액세스한 날짜 및 시간입니다.
- ACCSWHO(정보) 레코드에 마지막으로 액세스한 관리자입니다.
- ACL리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹) 목록 및 접근자의 액세스 유형을 정의합니다.ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
- BLOCKRUN프로그램이 트러스트되었는지 확인하고 언트러스트된 프로그램의 실행을 차단할지 여부를 지정합니다. 실행 차단은 프로그램이 setuid인지 일반 프로그램인지에 관계없이 수행됩니다.리소스에 대해 이 속성을 수정하려면 chres, editres 및 newres 명령과 함께 blockrun[-] 매개 변수를 사용합니다.
- CALACL리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 일정 상태에 따라 정의합니다.CALACL(일정 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- CalendarUnicenter TNG의 일정에 대한 참조를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
일정 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오. - CALENDAR사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 일정 개체를 나타냅니다. 지정된 시간 간격으로 Unicenter TNG 활성 일정을 가져올 수 있습니다.
- CATEGORY사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다. 이 설명은 권한 부여에 사용되지 않습니다.제한:255자
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.daytime restrictions의 확인은 1분입니다.
- GROUPS리소스 레코드가 소속되는 CONTAINER 레코드 목록을 정의합니다.클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 레코드에서 MEMBERS 속성을 변경해야 합니다.이 속성을 수정하려면 mem+ 또는 mem- 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- MD5(정보) 파일의 RSA-MD5 서명입니다.
- NACL
리소스의
NACL
속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.접근자
접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다.
이 속성을 수정하려면 authorize deniedaccess 명령 또는 authorize- deniedaccess- 명령을 사용하십시오.
NOTIFY
리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다. 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.
제한:
30자.OWNER
레코드를 소유하는 사용자 또는 그룹을 정의합니다.
PACL
특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- ProgramPROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
참고:
PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(
pgm
) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용할 수 있습니다.참고:
PROGRAM 클래스에 있는 리소스의 경우, PACL은 setuid/setgid 프로그램(UNIX) 또는 file
리소스가 있는 프로그램(Windows)에만 적용됩니다. Privileged Identity Manager
은 먼저 파일 리소스 레코드를 검사하고, 액세스가 허용되는 경우 프로그램 리소스 레코드를 검사합니다.PGMINFO
Privileged Identity Manager
에 의해 자동으로 생성되는 프로그램 정보를 정의합니다.Watchdog은 이 속성에 저장된 정보를 자동으로 확인합니다. 이 정보가 변경되면 해당 프로그램은 언트러스트된 것으로 간주됩니다.
다음 플래그 중 하나를 선택하여 확인 프로세스에서 연관된 정보를
제외
할 수 있습니다.- crc주기적 중복 검사 및 MD5 서명입니다.
- ctime(UNIX 전용) 마지막으로 파일 상태가 변경된 시간입니다.
- 장치UNIX에서는 파일이 상주하는 논리 디스크입니다. Windows에서는 파일을 포함하는 디스크의 드라이브 번호입니다.
- 그룹프로그램 파일을 소유하고 있는 그룹입니다.
- inodeUNIX에서는 프로그램 파일의 파일 시스템 주소입니다. Windows에서는 의미가 없습니다.
- mode프로그램 파일에 대한 관련 보안 보호 모드입니다.
- mtime프로그램 파일이 마지막으로 수정된 시간입니다.
- 소유자프로그램 파일을 소유하는 사용자입니다.
- sha1SHA1 서명입니다. 프로그램 또는 중요한 파일에 적용할 수 있는 디지털 서명 방법이며 보안 해시 알고리즘이라고 합니다.
- size프로그램 파일의 크기입니다.
이 속성에서 플래그를 수정하려면 chres, editres 또는 newres 명령과 함께 flags, flags+ 또는 flags- 매개 변수를 사용합니다.
RAUDIT
감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은
R
esource AUDIT
에서 온 것입니다. 유효한 값:- all모든 액세스 요청.
- success허용된 액세스 요청.
- failure거부된 액세스 요청(기본값).
- none액세스 요청 없음.
Privileged Identity Manager
은 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지, 아니면 구성원으로서 리소스를 가지고 있던 그룹이나 클래스에 적용되었는지는 기록하지 않습니다.chres 및 chfile 명령의 audit 매개 변수를 사용하여 감사 모드를 수정하십시오.
SECLABEL
사용자나 리소스의 보안 레이블을 정의합니다.
참고:
SECLABEL 속성은 chres 및 ch[x]usr 명령의 label[-] 매개 변수에 해당합니다.SECLEVEL
접근자 또는 리소스의 보안 수준을 정의합니다.
참고:
이 속성은 ch[x]usr 및 chres 명령의 level[-] 매개 변수에 해당합니다.UACC
리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은
Privileged Identity Manager
에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.이 속성을 수정하려면 defaccess 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
UNTRUST
리소스가 언트러스트되는지, 트러스트되는지를 정의합니다. UNTRUST 속성이 설정되면 접근자는 리소스를 사용할 수 없습니다. UNTRUST 속성이 설정되지 않으면, 리소스에 대한 데이터베이스에 나열된 다른 속성이 접근자의 액세스 권한을 결정하는 데 사용됩니다. 어떤 방식으로든 트러스트된 리소스가 변경되면 UNTRUST 속성이 자동으로 설정됩니다.
이 속성을 수정하려면 chres, editres 또는 newres 명령과 함께 trust[-] 매개 변수를 사용합니다.
UNTRUSTREASON
(정보) 프로그램이 언트러스트된 이유입니다.
UPDATE_TIME
(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
UPDATE_WHO
(정보) 업데이트를 수행한 관리자를 표시합니다.
WARNING
경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 해당 리소스에 대한 모든 액세스 요청이 허용되고 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.