|
|
|
각 정책은 정책의 용도와 포함된 규칙에 대해 설명하는 주석이 포함된 selang 스크립트입니다. 예제 정책 스크립트는 모범 사례를 보여주기 위해 작성되었습니다.
예제 정책의 각 섹션에서 달성할 목표를 쉽게 이해할 수 있도록 예제 정책에는 설명이 첨부되어 있습니다.
예제 정책은 관련 리소스를 하나의 컨테이너 리소스로 그룹화합니다. 이 방법을 사용하여 공용 정책은 모든 관련 리소스에 한 번 적용됩니다. 정책 규칙(ACL)은 개별 리소스에 적용할 필요가 없습니다. 예를 들어, 정책은 컨테이너를 사용하여 시스템의 모든 구성 파일을 그룹화할 수 있습니다.
정책 컨테이너는 POL_container_name과 같은 명명 규칙을 사용합니다. 이러한 컨테이너는 하위 정책과 같은 역할을 합니다. 예를 들어, OS 예제 정책은 POL_SYS_CONF 컨테이너를 사용하여 OS 구성 파일을 보호합니다.
쉽게 사용자를 관리할 수 있도록 예제 정책은 역할에 ACL을 적용합니다. 각 역할은 실제 사용자를 추가할 수 있는 CA Access Control 사용자 그룹을 사용합니다.
정책 역할은 ROL_role_name과 같은 명명 규칙을 사용합니다. 예를 들어, 예제 정책은 기본 제공되는 adm 및 lp와 같은 시스템 사용자에 대해 ROL_SYSTEM 그룹을 사용합니다. 많은 정책은 이러한 사용자에게 적절한 시스템 운용을 위해 폭넓은 사용 권한을 할당하지만 로그인에 사용할 수 없도록 권한의 사용 기간을 제한합니다.
배포할 때 적용할 변경 내용을 최소화하기 위해 예제 정책은 CA Access Control 변수를 사용합니다. 예제 정책은 기본 제공되는 변수를 사용하여 로컬 호스트에 대한 터미널 규칙과 같은 로컬 시스템 리소스를 보호합니다. 예제 정책은 또한 사용자 정의된 변수를 사용하여 간편하게 정책을 변경할 수 있게 합니다. 예를 들어, 사용자 정의된 변수는 관리 사용자의 홈 디렉터리를 포함할 수 있습니다. 관리 사용자가 다른 홈 디렉터리를 사용하는 경우 이 디렉터리만 한 번 변경하면 영향을 받는 모든 규칙이 자동으로 변경됩니다.
예: 정책 스크립트 주석
Solaris SPARC 9 예제 정책에서 가져온 다음 코드 조각은 예제 정책에 주석을 추가하는 방법을 설명합니다. selang 구문 규칙을 사용할 때 해시 기호(#)로 시작하는 줄은 주석입니다.
#
# * 홈 디렉터리 보호 정책 *
# **************************************
#
# 이 정책은 FILE 클래스를 사용하여 각 디렉터리의
# 소유자만 액세스할 수 있도록 중요한 사용자의 홈
# 디렉터리를 보호합니다.
#
# 필수 구성 요소:
#_____없음
#
# 규칙:
#_____없음
#
# 컨테이너:
#_____POL_HOME_DIR______- 중요한 사용자의 홈 디렉터리
#
# 컨테이너 POL_HOME_DIR 정의
# 홈 디렉터리 보호
editres CONTAINER POL_HOME_DIR audit(<!POLICY_AUDIT_MODE>) owner(+nobody) comment("AC 예제 - 홈 디렉터리 보호")
authorize CONTAINER POL_HOME_DIR uid(* _undefined) access(NONE)
editres ACVAR ("HOME_OS_ADMIN") value("/root") type(static)
editusr (<!USER_OS_ADMIN>)
# 특정 FILE 리소스를 정의하고 POL_HOME_DIR와 연결
editres FILE ("<!HOME_OS_ADMIN>/*") audit(<!POLICY_AUDIT_MODE>) owner(+nobody) defaccess(NONE) <!POLICY_WARNING_MODE> comment("AC 예제")
authorize FILE ("<!HOME_OS_ADMIN>/*") uid(<!USER_OS_ADMIN>) access(ALL)
chres CONTAINER POL_HOME_DIR mem+("<!HOME_OS_ADMIN>/*") of_class(FILE)
예: 예제 정책의 컨테이너
다음 selang 출력은 POL_SYS_FILES의 속성을 표시합니다. AIX 예제 정책은 시스템 파일을 보호하는 하위 정책을 포함하고 있습니다.
AC> sr container POL_SYS_FILES 컨테이너 'POL_SYS_FILES'의 데이터 ------------------------------------------------------------------------ ACL______________: ____접근자________________액세스 ____ROL_SYSADMIN__(GROUP__)_All ____ROL_SYSTEM____(GROUP__)_All ____*_____________(USER___)_R, Chdir _____undefined____(USER___)_R, Chdir 구성원_________: ____/boot/*_______(FILE__) ____/dev/kmem_____(FILE__) ____/dev/mem______(FILE__) ____/dev/port_____(FILE__) 감사 모드________: 실패 소유자_____________: +nobody_______(USER__) 작성 시간_______:_2008-12-10 10:32 업데이트 시간_______:_2008-12-10_10:35 업데이트한 사람________: root__________(USER__) 설명___________: AC 예제 - OS 시스템 파일 보호
예: 예제 정책의 변수
Red Hat Enterprise Linux 5 예제 정책에서 가져온 다음 코드 조각은 예제 정책이 변수를 사용하는 방법을 설명합니다. 이 코드 조각에서 예제 정책은 로컬 호스트 및 관리 사용자 root의 홈 디렉터리에 대한 가능한 이름을 정의합니다.
#
# * AC 변수 정의 *
# ****************************
#
# 이 섹션의 규칙은 정책이 사용하는 변수를 정의합니다.
# 변수:
# LOCALHOST : 로컬 호스트의 가능한 이름 목록
# POLICY_AUDIT_MODE : 정책 감사 모드 설정
# POLICY_DEFACCESS : 정책 리소스의 defaccess 설정
#
editres ACVAR ("LOCALHOST") value("localhost") type(static)
editres ACVAR ("LOCALHOST") value+("127.0.0.1")
editres ACVAR ("LOCALHOST") value+("0.0.0.0")
editres ACVAR ("POLICY_AUDIT_MODE") value("FAILURE") type(static)
editres ACVAR ("POLICY_DEFACCESS") value("ALL") type(static)
| Copyright © 2012 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |