UNIX용 끝점 관리 안내서계정 보호안전한 사용자 대체사용자 대체를 위해 sesu를 설정하는 방법 › 사용자가 시스템 su 유틸리티를 실행할 수 없도록 설정

이전 항목: 시스템 su 유틸리티를 CA Access Control sesu 유틸리티로 대체

다음 항목: Surrogate DO 기능 설정
사용자가 시스템 su 유틸리티를 실행할 수 없도록 설정

sesu 유틸리티를 구성해도 root 또는 사용자의 암호로 su.ORIG(시스템 su 유틸리티의 변경된 이름)를 예전처럼 실행할 수 있습니다. 이것을 방지하려면 PROGRAM 클래스를 사용하여 CA Access Control이 실행 중일 때 su.ORIG가 실행되지 않도록 명시적으로 지정하십시오.

참고: CA Access Control 설치 및 구성 중 seuidpgm을 사용한 경우 이 절차를 수행할 필요가 없습니다. su는 su.ORIG로 이름이 변경되었으므로 실행되지 않습니다.

사용자가 시스템 su 유틸리티를 실행할 수 없도록 하려면

  1. selang에서 다음 명령을 사용하여 CA Access Control이 이름이 변경된 su 유틸리티를 모니터링하도록 설정합니다. 
    nr program su_dir/su.ORIG defacc(x) own(nobody)
  2. root로 로그인한 후 다음 명령을 사용하여 파일 액세스 및 수정 시간을 변경합니다. 
    touch su_dir/su.ORIG

    CA Access Control은 su.ORIG를 모니터링하지만 파일이 수정되었으므로 실행하지 않습니다.