엔터프라이즈 관리 안내서 › 예제 및 모범 사례 정책 배포 › 컴플라이언스 및 모범 사례 정책 스크립트

컴플라이언스 및 모범 사례 정책 스크립트

각 정책은 정책의 용도와 포함된 규칙에 대해 설명하는 주석이 포함된 selang 스크립트입니다.

• 설명

  예제 정책의 각 섹션에서 달성할 목표를 쉽게 이해할 수 있도록 예제 정책에는 설명이 첨부되어 있습니다.

• 변수

  컴플라이언스 및 모범 사례 정책은 운영 체제에 독립적입니다. 하지만 리소스 그룹은 시스템마다 차이가 있습니다. 이 문제를 극복하기 위해 리소스 목록은 변수를 사용하고 ACL은 이 변수를 정책에 사용합니다. 끝점이 엔터프라이즈 관리 서버에 연결할 때 운영 체제 시스템과 끝점에 배포된 정책에 따라 일치하는 호스트 그룹에 끝점이 추가됩니다.

• 역할

  쉽게 사용자를 관리할 수 있도록 예제 정책은 역할에 ACL을 적용합니다. 각 역할은 실제 사용자를 추가할 수 있는 CA Access Control 사용자 그룹을 사용합니다.

  정책 역할은 ROL_role_name과 같은 명명 규칙을 사용합니다. 예를 들어, 예제 정책은 기본 제공되는 adm 및 lp와 같은 시스템 사용자에 대해 ROL_SYSTEM 그룹을 사용합니다. 많은 정책은 이러한 사용자에게 적절한 시스템 운용을 위해 폭넓은 사용 권한을 할당하지만 로그인에 사용할 수 없도록 권한의 사용 기간을 제한합니다.

예: 컴플라이언스 및 모범 사례 정책 주석

PCI_DSS_7.1.1 컴플라이언스 정책의 다음 코드 조각은 컴플라이언스 및 모범 사례 정책에 주석을 다는 방법을 설명합니다. selang 구문 규칙을 사용할 때 해시 기호(#)로 시작하는 줄은 주석입니다.

#
# * 2. <!USER_OS_ADMIN> 로그온 및 Access Control 관리 보호 *
# ***********************************************************************
#
# 이 섹션은 administrator 사용자가 직접 로그인하지 못하도록(읽기 액세스)
# TERMINAL 클래스를 사용합니다. Access Control 관리도 또한
# 차단됩니다(쓰기 액세스).
#
# 보안 관리와 시스템 관리를 분리하기 위해 정책은
# 이러한 특수 터미널에만 READ 액세스를 설정합니다.
#
editres   TERMINAL ("<!HOSTNAME>") audit(ALL) warning
authorize TERMINAL ("<!HOSTNAME>") uid("<!USER_OS_ADMIN>") deniedaccess(READ)
# UNIX에서는 TERMINAL 클래스에 대한 쓰기 액세스에 경고 모드를 
# 사용할 수 없으므로 다음 줄이 주석 처리되었습니다.
#authorize TERMINAL ("<!HOSTNAME>") uid("<!USER_OS_ADMIN>") deniedaccess(WRITE)

예: 컴플라이언스 및 모범 사례 정책 정책 역할

PCI_DSS_7.1.1 컴플라이언스 정책의 다음 코드 조각은 정책이 역할에 ACL을 적용하는 방법을 설명합니다.

#
# * 1. 역할 정의 *
# ***********************
#
# 이 섹션의 규칙은 정책이 사용하는 역할을 정의합니다.
# 
#  * 논리적 속성을 사용하여 기본 제공 OS 사용자를 정의합니다. 이렇게 하면 사용자가 시스템에 로그인하지
#    못하도록 방지합니다.
#  * CA Access Control에서만 사용자 +nobody를 만드십시오. CA Access Control은
#    이 사용자를 여러 리소스의 소유자로 설정합니다(소유권 바이패스를
#    비활성화하기 위해). 네이티브 OS에서는 이 사용자를 만들 수 없습니다.
#  * ROL_AC_ADMIN에서 하나 이상의 사용자를 만드십시오. 이 사용자가 없으면
#    CA Access Control에 로그인할 수 없습니다.
#    참고: 기본적으로 이 규칙은 superuser 계정을 ROL_AC_ADMIN에 추가합니다.
#          이 사용자를 제거하고 이 그룹에
#          보안 관리자를 추가할 것을 권장합니다. 
# 규칙:
#     ROL_SYSTEM        : 기본 제공 OS 사용자
#     ROL_SYSADMIN      : 시스템 관리자
#     ROL_RESTRICTED    : 특정 작업에 대한 권한을 갖는 제한된 사용자
#     ROL_AC_ADMIN      : CA Access Control 관리자
#     ROL_AC_AUDITOR    : CA Access Control 감사자
#     ROL_AC_OPERATOR   : CA Access Control 운영자
#     ROL_AC_SERVICE    : CA Access Control 서비스 관리자
#     ROL_AC_PWMANAGER  : CA Access Control 암호 관리자
#

editgrp (ROL_SYSTEM ROL_SYSADMIN ROL_RESTRICTED ROL_AC_ADMIN ROL_AC_AUDITOR ROL_AC_OPERATOR ROL_AC_SERVICE ROL_AC_PWMANAGER)
chgrp (ROL_SYSADMIN ROL_AC_ADMIN) audit(LOGINSUCCESS LOGINFAILURE FAILURE)
editusr (+nobody) comment("AC OOTB - Resource owner used for disabling ownership bypass")
chusr (+nobody) owner(+nobody)
join ("<!USER_OS_ADMIN>") group(ROL_SYSTEM)
join ("<!USER_OS_ADMIN>") group(ROL_AC_ADMIN)