selang 참조 안내서selang 명령AC Windows 환경의 selang 명령 › chfile 명령-파일 레코드 수정

이전 항목: checkpwd 명령-암호의 규칙 준수 여부 검사

다음 항목: ch[x]grp 명령-그룹 속성 변경

chfile 명령-파일 레코드 수정

AC 환경에 해당

FILE 클래스의 레코드로 작업하려면 chfile, editfile 및 newfile 명령을 사용하십시오. 이러한 명령은 구조가 동일하며, 다음의 내용만 다릅니다.

참고: 이 명령은 네이티브 환경에도 있지만 작동 방식이 다릅니다.

FILE 클래스에 속한 파일에 대해 레코드를 추가 또는 변경하려면 파일에 대해 충분한 권한을 가지고 있어야 합니다. 다음의 조건 중 하나가 충족될 때까지 CA Access Control은 다음 검사를 수행합니다.

  1. 사용자가 ADMIN 특성을 가집니다.
  2. 리소스 레코드는 사용자가 GROUP‑ADMIN 특성을 가지는 그룹의 범위 내에 있습니다.
  3. 레코드를 변경할 때 해당 레코드의 소유자입니다.
  4. ADMIN 클래스에 있는 FILE 레코드의 ACL에 CREATE(newfile 또는 editfile의 경우) 또는 MODIFY(chfile의 경우) 액세스 권한을 가집니다.
  5. seos.ini 파일의 토큰 use_unix_file_owner가 yes로 설정되어 있으면 해당 사용자는 파일의 소유자입니다(기본 OS에 존재하는 CA Access Control에 대해 파일을 정의할 때). 
    {{chfile|cf}|{editfile|ef}|{newfile|nf}} filename... \

    [audit{none|all|success|failure}] \
[category[-](categoryName)] \
[comment(string)|comment‑] \
[defaccess(accessAuthority)] \
[label(labelName)|label‑] \
[level(number)|level‑] \
[notify(mailAddress)|notify‑] \
[gowner(groupName)] \
[owner({userName|groupName})] \
[restrictions( \

    [days({anyday|weekdays|{[mon] [tue] [wed] \
	[thu] [fri] [sat] [sun]}})] \
[time({anytime|startTime:endTime}) \

    |restrictions‑] \
[warning|warning‑]
audit{none|all|success|failure}

로그에 기록되는 액세스 이벤트를 지정합니다. 액세스 유형은 다음과 같습니다.

category(categoryName)

파일에 할당할 보안 범주 레코드(CATEGORY 클래스에 정의됨)의 목록을 공백 또는 쉼표로 구분하여 정의합니다.

CATEGORY 클래스가 활성화되지 않았을 때 category 매개 변수를 지정하면 CA Access Control은 데이터베이스의 파일 정의를 업데이트 합니다. 그러나 업데이트된 범주 할당은 CATEGORY 클래스가 다시 활성화되기 전까지 적용되지 않습니다.

참고: 보안 범주 검사에 대한 자세한 내용은 해당 OS의 끝점 관리 안내서를 참조하십시오.

category‑(categoryName)

리소스 레코드에서 하나 이상의 보안 범주를 삭제합니다. 둘 이상의 보안 범주를 제거하려면 보안 범주 이름을 공백 또는 쉼표로 구분하십시오.

지정된 보안 범주가 CATEGORY 클래스의 활성 여부에 상관 없이 리소스 레코드에서 삭제됩니다.

참고: 이 매개 변수는 레코드를 수정할 경우에만 유효합니다.

comment(string)

영숫자 문자열을 최대 255자까지 파일 레코드에 추가합니다. 문자열에 공백이 포함되어 있으면 작은따옴표로 문자열을 둘러쌉니다. 이 문자열은 이전에 정의한 기존의 모든 주석을 대체합니다.

comment‑

파일 레코드에서 주석 문자열을 삭제합니다.

참고: 이 매개 변수는 레코드를 수정할 경우에만 유효합니다.

defaccess(accessAuthority)

파일의 기본 액세스 권한을 지정합니다. 기본 액세스 권한은 파일에 대한 액세스를 요청하는 모든 접근자에 부여되지만 파일의 액세스 제어 목록에는 존재하지 않는 권한입니다. 기본 액세스는 데이터베이스에 정의되지 않은 사용자에게도 적용됩니다.

fileName

파일 레코드의 이름을 정의합니다. 파일 이름을 최소한 하나 이상 지정해야 합니다.

일반 파일 이름을 사용하여 FILE 클래스에서 레코드를 추가 또는 변경하는 경우 selang에서 허용되는 와일드카드 표현식을 사용하십시오. 하나 이상의 레코드를 정의하거나 변경할 때 파일 이름 목록을 괄호 안에 넣고 파일 이름은 공백이나 쉼표로 구분하십시오.

참고: 둘 이상의 파일 이름을 지정할 경우 CA Access Control은 지정된 매개 변수에 따라 각 파일 레코드를 독립적으로 처리합니다. 파일을 처리할 때 오류가 발생하면 CA Access Control은 메시지를 작성하고 목록의 다음 파일을 계속 처리합니다.

gowner(groupName)

CA Access Control 그룹을 파일 레코드의 그룹 소유자로 할당합니다. 소유자의 보안 수준, 보안 레이블 및 보안 범주 권한이 파일에 액세스하기에 충분하다면 파일 레코드의 소유자는 무제한의 파일 액세스 권한을 가집니다. 파일의 그룹 소유자는 항상 파일 레코드를 업데이트하고 삭제할 수 있습니다.

label(labelName)

보안 레이블(SECLABEL) 클래스에 정의된 보안 레이블을 파일에 할당합니다. 특정 보안 수준과 0개 이상의 보안 범주 사이의 관계를 나타내는 보안 레이블입니다. 리소스 레코드에 현재 보안 레이블이 있는 경우, 여기에 지정된 보안 레이블은 현재 보안 레이블을 대체합니다.

참고: 보안 레이블 검사에 대한 자세한 내용은 해당 OS의 끝점 관리 안내서를 참조하십시오.

label‑

파일 레코드에 정의된 보안 레이블을 삭제합니다.

참고: 이 매개 변수는 레코드를 수정할 경우에만 유효합니다.

level(number)

리소스 레코드에 보안 수준을 할당합니다. 1-255 사이의 양의 정수를 입력합니다. 이전에 보안 수준이 리소스 레코드에 할당된 경우 새 값은 기존 값을 대체합니다.

참고: 보안 수준 검사에 대한 자세한 내용은 해당 OS의 끝점 관리 안내서를 참조하십시오.

level‑

CA Access Control이 리소스에 대해 보안 수준을 검사하지 않도록 합니다.

참고: 이 매개 변수는 레코드를 수정할 경우에만 유효합니다.

notify(mailAddress)

리소스 레코드로 표시되는 파일에 성공적으로 액세스할 때마다 CA Access Control에게 알림 메시지를 보내도록 지시합니다. 사용자 이름이나 전자 메일 주소를 입력하거나 별칭이 지정된 경우 메일 그룹의 전자 메일 주소를 입력하십시오.

통지는 로그 라우팅 시스템이 활성 상태인 경우에만 발생합니다. 통지 메시지는 로그 라우팅 시스템의 설정에 따라 화면 또는 사용자의 사서함으로 전송됩니다.

통지 메시지가 전송될 때마다 감사 레코드가 감사 로그에 기록됩니다.

통지 메시지의 수신인은 자주 로그인하여 각 메시지에서 설명하고 있는 무단 액세스 시도에 응답해야 합니다.

제한: 30자

참고: 감사 레코드의 필터링 및 보기에 대한 자세한 내용은 해당 OS의 끝점 관리 안내서를 참조하십시오.

notify‑

CA Access Control이 레코드로 표시되는 파일에 대한 액세스를 허용할 때 아무에게도 알리지 않도록 지정합니다.

참고: 이 매개 변수는 레코드를 수정할 경우에만 유효합니다.

owner(Name)

CA Access Control 사용자 또는 그룹을 파일 레코드의 소유자로 할당합니다. 소유자의 보안 수준, 보안 레이블 및 보안 범주 권한이 파일에 액세스하기에 충분하다면 파일 레코드의 소유자는 무제한의 파일 액세스 권한을 가집니다. 파일의 소유자는 항상 파일 레코드를 업데이트하고 삭제할 수 있습니다.

restrictions(days(dayData) time(timeData))

사용자가 파일에 액세스할 수 있는 요일 및 하루 중의 시간을 지정합니다.

days 인수를 생략하고 time 인수를 지정할 경우, 시간 제한은 레코드에 이미 표시된 요일 제한에 적용됩니다. time을 생략하고 days를 지정할 경우 요일 제한은 레코드에 이미 표시된 시간 제한에 적용됩니다. days와 time을 모두 지정할 경우 사용자는 지정된 요일의 지정된 시간 동안만 시스템에 액세스할 수 있습니다.

days(dayData)

사용자가 파일에 액세스할 수 있는 요일을 지정합니다. days 인수는 다음 하위 인수를 가집니다.

  • anyday-모든 요일에 파일 액세스 권한을 제공합니다.
  • weekdays-주중(월요일부터 금요일까지)에만 리소스 액세스 권한을 제공합니다.
  • mon tue wed thu fri sat sun-지정된 요일에만 리소스 액세스 권한을 제공합니다. 순서에 상관 없이 요일을 지정할 수 있습니다. 둘 이상의 요일을 지정하려면 공백 또는 쉼표로 날짜를 구분하십시오.
time(timeData)

사용자가 파일에 액세스할 수 있는 기간을 지정합니다. time 인수는 다음 하위 인수를 가집니다.

  • anytime-시간에 상관없이 언제든지 리소스 액세스 권한을 제공합니다.
  • startTime:endTime-사용자가 지정된 기간 동안에만 리소스에 액세스할 수 있습니다. startTime 및 endTime의 형식은 hhmm입니다. startTimeendTime 형식은 모두 hhmm이며, 여기서 hh는 24시간 표기(00 - 23) 시간이고 mm은 분(00 - 59)입니다. 2400은 올바른 시간 값이 아닙니다. startTimeendTime보다 작아야 하며, 두 시간 모두 같은 날에 속해야 합니다. 터미널의 시간대가 프로세서와 다른 경우, 터미널의 시작 시간과 종료 시간을 프로세서에 대해 동등한 로컬 시간으로 변환하여 시간 값을 조정합니다. 예를 들어, 프로세서가 뉴욕에 있고 터미널이 LA에 있는 경우 LA에서 오전 8시에서 오후 5시까지 터미널에 대한 액세스를 허용하려면 시간(1100:2000)을 지정하십시오.
restrictions‑

파일 액세스 권한을 제한하는 모든 제한 규칙을 삭제합니다.

참고: 이 매개 변수는 레코드를 수정할 경우에만 유효합니다.

warning

파일을 경고 모드에 둡니다.

warning‑

파일을 경고 모드에서 해제합니다.

예: 슈퍼 사용자를 제외한 모든 사용자에 대해 파일에 대한 액세스 제한

슈퍼 사용자를 제외한 모든 사용자에 대해 /etc/passwd 파일에 대한 READ 액세스를 제한하려면 다음 명령을 입력합니다.

chfile /etc/passwd defaccess(read) owner(root)

다음 조건이 참이어야 합니다.

예: 시간별로 파일에 대한 액세스 제한

/home/bob/secrets 파일에 대한 액세스를 차단하고 주중에 08:00 및 18:00 사이에만 소유자가 파일에 액세스하는 것을 허용하려면 다음 명령을 입력합니다.

newfile /home/bob/secrets defac(none) restrictions(d(weekdays) t(0800:1800))

다음 조건이 참이어야 합니다.

예: 홈 디렉터리에 대한 액세스 방지

다른 모든 사용자가 자신의 홈 디렉터리(/home/bob)에 있는 어떤 파일에도 액세스하지 못하게 하려면 UNIX에서 다음 명령을 입력합니다.

newfile /home/bob/* defaccess(none)

Windows에서도 다음 명령을 사용하여 이와 동일하게 할 수 있습니다.

newfile %userprofile%\* defaccess(none)

다음 조건이 참이어야 합니다.

추가 정보:

권한 부여 명령-리소스에 대한 액세스 권한 설정

rmfile 명령-파일 레코드 삭제

showfile 명령-파일 속성 표시

chfile 명령-UNIX 파일 설정 수정

chfile 명령-Windows 파일 설정 수정

클래스별 액세스 권한

경고 모드