selang 参考指南 › selang 命令 › selang 命令参考 › chres 命令 - 修改资源记录

chres 命令 - 修改资源记录

在 AC 环境中有效

使用 chres、editres 和 newres 命令，可以处理属于 CA ControlMinder 类的资源记录。 这些命令结构相同，仅在以下方面有所不同：

• chres 命令可修改一个或多个资源。
• editres 命令可创建或修改一个或多个资源。
• newres 命令可创建一个或多个资源。

注意：此命令同样存在于本地 Windows 环境中，但操作方式有所不同。

要使用 newres 命令添加资源，至少必须满足下列条件之一：

• 您具有 ADMIN 属性。
• 您在 ADMIN 类中的资源类记录的 ACL 中具有创建权限。
• 如果 seos.ini 文件中的标记 use_unix_file_owner 设置为 yes，则 UNIX 中文件的所有者可以将其定义为 CA ControlMinder 的新资源。

要使用 chres 或 editres 命令添加或更改资源，必须对该资源具有足够的权限。 CA ControlMinder 将按照以下顺序检查是否满足下列任意一个条件：

1. 您具有 ADMIN 属性。
2. 资源记录在某一组的范围内，您在该组中具有 GROUP‑ADMIN 属性。
3. 您是记录的所有者。
4. 在 ADMIN 类中的资源类记录的 Access Control 列表中为您分配了修改（对于 chres）或创建（对于 editres）权限。

注意：资源名的最大长度为 255 个单字节字符。

下表列出了适用于可以使用 chres、editres 和 newres 命令管理的每个类的命令参数。

{{chres|cr}|{editres|er}|{newres|nr}} className resourceName \

[ac_id(id)] \
[audit({none|all|success|failure})] \
[calendar[-](calendarName)] \
[category[-](categoryName)] \
[cmd+(selang_command_string)|cmd-] \
[comment(string)|comment‑] \
[container[-](containerName)] \
[dates(time‑period)] \
[dh_dr{-|+}(dh_dr)] \
[disable|disable-] \
[defaccess(accessAuthority)] \
[filepath(filePaths)] \
[flags[-|+](flagName)] \
[gacc(access‑value)] \
[gowner(groupName)] \
[host(host-name)|host-] \
[label(labelName)|label‑] \
[level(number)|level‑] \
[mask(inetAddress)|match(inetAddress)] \
[mem(resourceName)|mem‑(resourceName)] \
[node_alias{-|+}(alias)] \
[node_ip{-|+}(ip)] \
[notify(mailAddress)|notify‑] \
[of_class(className)]  \
[owner({userName | groupName})] \
[{password | password‑}] \
[policy(name(policy-name) {{deviation+|dev+}|{deviation-|dev-}})] \
[policy(name(policy-name) status(policy-status) {updator|updated_by}(user-name))] \
[{restrictions([days({anyday|weekdays|{[mon] [tue] [wed] \

[thu] [fri] [sat] [sun]}})] \
[time({anytime|startTime:endTime}) \

|restrictions‑}] \
[targuid(userName)] \
[trust | trust‑] \
[value{+|-}(value)] \
[warning | warning‑]

ac_id(id)

为端点（HNODE 对象）定义唯一 ID，该 ID 将保存在本地 CA ControlMinder 数据库和 DMS 上。 CA ControlMinder 使用该 ID 标识 HNODE，从而使对端点 IP 地址或名称的更改不会影响高级策略管理功能；CA ControlMinder 仍可以跟踪端点。

审核

表明记录哪些访问事件。 指定以下属性之一：

• all - CA ControlMinder 既记录授权的访问尝试，也记录未经授权的访问尝试。
• failure - CA ControlMinder 记录未经授权的访问尝试。 这是默认值。
• none - CA ControlMinder 不向日志文件写入任何记录。
• success - CA ControlMinder 记录授权的访问尝试。

calendar(calendarName)

定义代表 Unicenter TNG 中时间限制的 Unicenter NSM 日历记录。 CA ControlMinder 维护这些对象的列表只是为了进行管理，但不对它们进行保护。 指定多个日历时，请用空格或逗号分隔日历名称。

calendar‑(calendarName)

从资源记录中删除一个或多个 Unicenter TNG 日历记录。 该参数仅与 chres 或 editres 命令一起使用。

category(categoryName [,categoryName...])

为资源记录分配一个或多个安全类别 安全类别是 CATEGORY 类中记录的名称。 可以向访问者和资源分配安全类别。 只有当将访问者分配给向资源分配的所有安全类别时，访问者才能访问该资源。。

如果在 CATEGORY 类不活动时指定 category 参数，CA ControlMinder 将更新数据库中的资源定义；但是，在再次激活 CATEGORY 类之前，更新的类别分配不会生效。

category‑(categoryName [,categoryName...])

从资源记录删除一个或多个安全类别。

将从资源记录中删除指定的安全类别，无论 CATEGORY 类是否是活动的。 该参数仅与 chres 或 editres 命令一起使用。

className

指定资源所属的类的名称。 要列出为 CA ControlMinder 定义的资源类，请使用 find 命令。

cmd+(selang_command_string)

指定定义策略的 selang 命令列表。 这些是用于部署策略的命令。 例如：

editres RULESET IIS5#02 cmd+("nr FILE /inetpub/* defaccess(none) owner(nobody)")

cmd-

从 RULESET 对象删除策略部署命令列表。

comment(string)

将最多为 255 个字符的字母数字字符串添加到资源记录中。 如果字符串中包含任何空格，请用单引号将整个字符串引起。 字符串将替换先前定义的任何现有字符串。

注意：对于 SUDO 类，该字符串具有特殊的含义。 有关定义 SUDO 记录的详细信息，请参阅《端点管理指南：用于 UNIX》。

comment‑

从资源记录中删除注释。 该参数仅与 chres 或 editres 命令一起使用。

container(containerName)

代表 CONTAINER 对象，即一种一般的分组类。

containerName 是在 CONTAINER 类中定义的一个或多个 CONTAINER 记录的名称。 指定多个 CONTAINER 时，请使用空格或逗号分隔名称。

container‑(containerName)

从资源记录中删除一个或多个 CONTAINER 记录。 该参数仅与 chres 或 editres 命令一起使用。

dates(time‑period)

定义用户不能登录的一个或多个时间段，如假日。 如果指定多个时间段，请用空格分隔时间段。 使用以下格式：

mm/dd[/yy[yy]][@hh:mm][-mm/dd]/[/yy[yy]][@hh:mm]

如果未指定年份（或指定 1990 年之前的年份），则表示时间段或假日是一年一次的。 可以指定二位数或四位数的年份，例如：98 或 1998。

如果未指定开始时间，则使用一天的开始时间（午夜）；如果未指定结束时间，则使用一天的结束时间（午夜）。 小时和分钟的格式为 hh:mm，其中 hh 是采用 24 小时表示法的小时（00 至 23），而 mm 是分钟（00 至 59）。

如果未指定时间间隔（例如，12/25@14:00‑12/25@17:00），而仅指定了日和月 (12/25)，则假日将持续一整天。

如果执行命令时所在的时区与假日发生地的时区不同，请将时间段转换为您的本地时间。 例如，如果您在纽约，而洛杉矶有半天的假日，则您必须输入 09/14/98@18:00‑09/14/98@20:00。 这可以防止用户在洛杉矶的下午 3:00 至下午 5:00 进行登录。

defaccess([accessAuthority])

定义资源的默认访问权限。 默认访问权限是授予请求访问资源但不在资源的访问控制列表中的任何访问者的权限。 默认访问权限也适用于未在数据库中定义的用户。 有效访问权限值因类而异。

如果忽略 accessAuthority，CA ControlMinder 将分配隐性访问权限，该访问权限是在 UACC 类中代表资源类的记录的 UACC 属性中指定的。

dh_dr{+|-}(dh_dr)

定义该端点用于灾难恢复的分布式主机。

filepath(filePaths)

定义一个或多个绝对文件路径，其中每个都构成一个有效内核模块。 多个文件路径用冒号 (:) 分隔。

flags(flagName)

定义如何受托资源以及如何检查它的受托状态。 可用标志有：Ctime、Mtime、Mode、Size、Device、Inode、Crc 和 Own/All/None。

gacc(access‑value)

让程序采用比其他方式快得多的速度访问受保护的、频繁打开的文件。

gowner(groupName)

将 CA ControlMinder 组指定为资源记录的所有者。 如果记录资源的组所有者的安全级别、安全标签和安全类别权限使其足以能够访问资源，则该组所有者对该资源拥有不受限制的访问权限。 资源的组所有者始终可以更新和删除资源记录。 有关详细信息，请参阅《端点管理指南：用于 UNIX》。

label(labelName)

为资源记录分配安全级别 安全标签是 SECLABEL 类中记录的名称。 安全标签将安全级别和一组安全类别捆绑在一起。 将安全标签分配给访问者或资源，会授予该访问者或资源与该安全标签相关联的组合的安全级别和安全类别。 安全标签会覆盖访问者或资源中任何特定的安全级别和类别分配。。

label‑

从资源记录中删除安全标签。 该参数仅与 chres 或 editres 命令一起使用。

level(number)

为资源记录指定安全级别 安全级别是可以分配给访问者和资源的 0 到 255 之间的整数。 如果访问者的安全级别小于分配给资源的安全级别，即使在资源的 Access Control 列表中向用户授予了访问权限，访问者也不能访问资源。。 请输入介于 1 和 255 之间的正整数。

level‑

从资源中删除任何安全级别。 该参数仅与 chres 或 editres 命令一起使用。

mask (IPv4‑address) match (IPv4‑address)

mask 和 match 参数仅适用于 HOSTNET 记录。 创建 HOSTNET 记录时需要它们，并且它们在修改记录时可选。

将 mask 和 match 一起使用可以定义由 HOSTNET 记录定义的主机组。 如果带有 mask 地址的主机 IP 地址的 AND 生成了 match 地址，则主机是 HOSTNET 记录组的成员。

例如，指定 mask(255.255.255.0) 和 match(192.16.133.0) 意味着主机是组的成员，如果该组的 IP 地址范围在 192.16.133.0 到 192.16.133.255 之间。

mask 和 match 参数需要 IPv4 地址。

mem(resourceName)

将成员资源添加到资源组。 如果要添加多个成员资源，请用逗号分隔每个名称。

可以将 mem 参数仅与以下类的资源记录一起使用：

• CONTAINER。 该类定义其他资源类的一组对象。
• GFILE。 该类包含定义文件组的资源记录。
• GHOST。 该类包含定义主机组的资源记录。
• GSUDO。 该类包含定义命令组的资源记录。
• GTERMINAL。 该类包含定义终端组的资源记录。
• GPOLICY。 该类包含定义逻辑策略的资源记录。
• GHNODE。 该类包含定义主机组的资源记录。
• GDEPLOYMENT。 该类包含定义策略部署的资源记录。

使用 mem 参数将相应类型的记录添加到资源组，例如，将 FILE 记录添加到类 GFILE 资源组。

注意：如果将 mem 参数用于 CONTAINER 资源，还必须包括 of_class 参数。

必须已在 CA ControlMinder 中定义成员资源和资源组。 要创建资源组，请创建所需的类资源。 例如，以下命令可创建 GFILE 资源组：

newres GFILE myfiles

mem‑(resourceName)

从资源组中删除成员资源。 如果要删除多个成员资源，请使用空格或逗号分隔资源名称。 该参数仅与 chres 或 editres 命令一起使用。

node_alias{-|+}(alias)

定义端点别名。

通过为端点别名定义别名，CA ControlMinder 可以将高级策略管理命令发送到基于别名的实际端点。

node_ip[-|+](ip)

定义主机的 IP 地址。 高级策略管理可使用 IP 地址以及端点名称找到所需端点。

notify(mailAddress)

只要该资源记录代表的资源被访问，便指示 CA ControlMinder 发送通知消息。 请输入用户名、用户的电子邮件地址或邮件组的电子邮件地址（如果指定了别名）。

只有在日志路由系统活动时，才进行通知。 通知消息将发送到屏幕上或用户的邮箱，具体取决于日志路由系统的设置。

每次发送通知消息时，都会在审核日志中写入审核记录。 有关筛选和查看审核记录的信息，请参阅《端点管理指南：用于 UNIX》。

通知消息的接收者应该经常登录，以对每个消息中所描述的未经授权的访问尝试做出响应。

范围：30 个字符。

notify‑

指定在成功访问资源记录代表的资源时不通知任何人。 该参数仅与 chres 或 editres 命令一起使用。

of_class(className)

指定要使用 mem 参数添加到 CONTAINER 类的记录的资源类型。

owner(Name)

将 CA ControlMinder 用户或组指定为资源记录的所有者。 如果资源记录的所有者的安全级别、安全标签和安全类别权限使其足以能够访问资源，则该所有者对该资源拥有不受限制的访问权限。 资源的所有者始终可以更新和删除资源记录。 有关详细信息，请参阅《端点管理指南：用于 UNIX》。

密码

对于 SUDO 类，指定 sesudo 命令需要原始用户密码。

密码‑

取消 password 参数，以使 sesudo 命令不再需要原始用户密码。 该参数仅与 chres 或 editres 命令一起使用。 如果以前未使用 password 参数，则没有必要使用该参数。

policy(name(name#xx) status(status) updated_by(name)) | policy(name(name#xx) deviation{+|-})

在传播树中添加节点的订户，并指定其状态。 另外，还可以更新现有策略版本以指定是否存在策略偏差。 更新策略状态时必须更新 updated_by 属性。 它是代表更改策略状态的用户的名称的字符串。

策略状态可以是以下之一：已传输、已部署、已取消部署、已失败、SigFailed、已排队、UndeployFailed 或 TransferFailed。

policy-[(name(name#xx))]

从节点删除已命名的策略版本。 如果未指定策略，则将删除部署到该节点的所有策略。

resourceName

定义要修改或添加的资源记录的名称。 当更改或添加多个资源时，请将资源名称的列表括在括号中，并用空格或逗号分隔这些资源名称。 必须至少指定一个资源名称。

CA ControlMinder 将根据指定的参数分别处理每个资源记录。 如果处理资源时发生错误，CA ControlMinder 将发出一条消息，并继续处理列表中的下一个资源。

注意：如果您在资源名称中使用变量，请使用以下语法来引用变量：<!variable>，例如 <!AC_ROOT_PATH>\bin。 您只能在策略中使用 selang 规则中的变量。

restrictions([days] [time])

指定用户可以在一周的哪几天以及一天的哪几个小时访问文件。

如果省略 days 参数而指定 time 参数，则时间限制将应用于记录中已经指出的任何“工作日”限制。 如果省略 time 而指定 days，则日期限制将应用于记录中已经指出的任何时间限制。 如果同时指定了 days 和 time，则用户只能在指定日期的指定时间段内访问系统。

• [Days] 指定用户可以访问文件的日期。 days 参数可使用下列子参数：
  • anyday - 允许用户在任何日期访问文件。
  • weekdays - 仅允许用户在工作日（星期一至星期五）访问资源。
  • Mon、Tue、Wed、Thu、Fri、Sat、Sun - 仅允许用户在指定的日期访问资源。 您可以按任何顺序指定日期。 如果指定了多个日期，请用空格或逗号分隔这些日期。
• [Time] 指定用户可以访问资源的时间段。 time 参数可使用下列子参数：
  • anytime - 允许用户在一天中的任何时间访问资源。
  • startTime:endTime - 仅允许用户在指定的时间段内访问资源。 startTime 和 endTime 的格式均为 hhmm，其中 hh 是采用 24 小时表示法的小时（00 至 23），而 mm 是分钟（00 至 59）。 请注意，2400 是无效的时间值。 startTime 必须小于 endTime，并且这两个时间必须在同一天。 如果终端与处理器位于不同的时区，请通过将终端的开始时间和结束时间转换为等同的处理器本地时间来调整时间值。 例如，如果处理器位于纽约而终端位于洛杉矶，那么，要允许从上午 8:00 到下午 5:00 在洛杉矶访问终端，请指定时间 (1100:2000)。

restrictions‑([days] [time])

删除限制用户访问文件的能力的任何限制。

ruleset+(name)

指定与策略相关联的规则集。

ruleset-(name)

从策略中删除规则集。 如果未指定规则集，则将从策略中删除所有规则集。

signature(hash_value)

指定散列值。 对于策略，这基于与策略相关联的 RULESET 对象的签名。 对于规则集，这基于策略部署命令列表和策略取消部署（删除）命令列表。

subscriber(name(sub_name) status(status))

在传播树中添加节点的订户，并指定其状态。 状态可以是以下之一：未知、可用、不可用或同步。

subscriber-(name(sub_name)) | sub-

从节点中删除订户数据库。 如果未指定订户，则所有订户都将被删除。

targuid(userName)

对于 SUDO 类，指定用户的名称，将借用该用户的权限来执行命令。 默认值为 root。

trust

指定资源为受托资源。 trust 参数仅适用于 PROGRAM 和 SECFILE 类的资源。 只要程序保持受托，用户就可执行该程序。 有关详细信息，请参阅《端点管理指南：用于 UNIX》。 该参数仅与 chres 或 editres 命令一起使用。

trust‑

指定资源为取消受托资源。 trust‑ 参数仅适用于 PROGRAM 和 SECFILE 类的资源。 用户不能执行取消受托程序。 有关详细信息，请参阅《端点管理指南：用于 UNIX》。 该参数仅与 chres 或 editres 命令一起使用。

undocmd+(selang_command_string)

指定定义策略取消部署的 selang 命令列表。 这些是用于删除已部署策略（取消部署）的命令。 例如：

editres RULESET IIS5#02 undocmd+("rr FILE /inetpub/*")

undocmd-

从 RULESET 对象删除策略删除命令列表。

value+(value)

将指定值添加到指定的变量（ACVAR 对象）中。

value-(value)

从指定的变量（ACVAR 对象）中删除指定值。

warning

指定即使访问者的权限不足以访问资源，CA ControlMinder 也允许该访问者访问资源。 但是，CA ControlMinder 将在审核日志中写入警告消息。

注意：在警告模式中，CA ControlMinder 不为资源组创建警告消息。

warning‑

指定如果访问者的权限不足以访问资源，<eAC 将拒绝该用户访问资源，并且不写入警告消息。 该参数仅与 chres 或 editres 命令一起使用。

示例

• 用户 admin1 希望更改终端 tty30 的所有者和默认访问，并限制在工作日工作时间（上午 8:00 至下午 6:00）使用终端。
  • 用户 admin1 具有 ADMIN 属性。

    chres TERMINAL tty30 owner(admin1) defaccess(read)  restrictions \
    (days(weekdays)time(0800:1800))
    

• 管理员用户 Sally 希望删除存储于文件 account.txt 的 FILE 类记录中的 group 和 owner 属性。
  • 用户 Sally 是 Jared 的用户记录的所有者。

    chres FILE /account.txt group() owner()
    

  要删除任何记录属性（如果属性是由字符串定义的），请键入带“‑”符号或空圆括号“()”的该属性。

• 用户 Bob 希望删除终端 tty190 的备注字段，而且每当授予对终端的访问权限时都得到通知。
  • 用户 Bob 是 CA ControlMinder 用户，而且是终端 tty190 的所有者。

    chres TERMINAL tty190 comment‑ notify(Bob@athena)
    

• 用户 Admin1 希望将 OPERATOR 类别添加到资源 USER.root（它在 SURROGATE 类中）的安全类别列表中。
  • 用户 Admin1 具有 ADMIN 属性。
  • OPERATOR 类别已在数据库中定义。

    chres SURROGATE USER.root category(OPERATOR)
    

• 用户 admin1 希望将 /bin/su 定义为具有 EXECUTE 的全局访问的受信任程序。
  • 用户 admin1 具有 ADMIN 属性。
  • 将应用以下默认项：
    • restrictions(days(anyday) time(anytime))
    • owner(admin1)
    • audit(failure)

      newres PROGRAM /bin/su defaccess(x) trust
      

• 用户 admin1 希望将用组 ID 替代“system”组定义为受保护的资源，所有用户（包括 admin1）都不能访问它。
  • 用户 admin1 具有 ADMIN 属性。 向 CA ControlMinder 定义了用户 nobody。
  • 将应用以下默认项：
    • restrictions(days(anyday) time(anytime))
    • audit(failure)

      newres SURROGATE GROUP.system defaccess(n) owner(nobody)
      

• 用户 SecAdmin 希望定义 ProjATerms，一个包含终端 T1、T8 和 T11 的终端组。 终端组只能由组 PROJECTA 在工作日的常规营业时间（上午 8：00 到下午 6:00）使用。
  • 用户 SecAdmin 具有 ADMIN 属性。
  • 向 CA ControlMinder 定义了终端 T1、T8 和 T11。
  • 向 CA ControlMinder 定义了组 PROJECTA。
  • audit(failure)

    newres GTERMINAL ProjATerms mem(T1,T8,T11) owner(PROJECTA) \
    restrictions(days(weekdays) time(0800:1800)) defaccess(n)