PROGRAM 类中的每个记录都定义被认为是受信任计算基础的一部分的程序。 该类中的程序被认定是绝无安全漏洞的,因为它们由监视程序监控,可确保它们不会被修改。 如果受托程序被更改,CA ControlMinder 会自动将该程序标记为取消受托的程序,并阻止执行该程序。 另外,您还可以使用 BLOCKRUN 属性来允许或阻止执行取消受托程序。
每个 PROGRAM 记录都包含几个可以定义可信任程序文件信息的属性。
使用注意事项:
程序是不能在程序访问控制列表 (PACL) 中使用的,除非它已在 PROGRAM 类中定义。 (但是,当程序添加到 PACL 中时也会自动添加到 PROGRAM 类中。)
PROGRAM 类记录的关键字是记录所保护的程序的文件名。 必须将文件的完整路径指定为对象名称。
以下定义说明了此类记录所具有的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不能修改标记为信息性的属性。
(信息性)。 上次访问记录的日期和时间。
(信息性)。 上次访问该记录的管理员。
定义可以访问资源的访问者(用户和组)及其访问类型的列表。
Access Control列表 (ACL) 中的每个元素均包含下列信息:
定义访问者。
定义访问者对资源的访问权限。
在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。
指定是否对程序受托与否进行检查并阻止执行取消受托程序。 无论程序是 setuid 还是常规程序,都会阻止执行它。
在 chres、editres 和 newres 命令中使用 blockrun[-] 参数,可以修改该资源属性。
根据 Unicenter NSM 日历状态定义可以访问资源的访问者(用户和组)及其访问类型的列表。
日历 Access Control 列表 (CALACL) 中的每个元素均包含下列信息:
定义访问者。
定义对 Unicenter TNG 中的日历的引用。
定义访问者对资源的访问权限。
只有日历为 ON 时才允许访问, 其他所有情况下都拒绝访问。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。
表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。
定义分配给用户或资源的一个或多个安全类别。
定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。
范围:255 个字符。
(信息性)显示创建记录的日期和时间。
定义管理访问者何时可以访问资源的日期和时间限制。
在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。
日期时间限制的解决方案为一分钟。
资源记录所属的 CONTAINER 记录的列表。
要修改类记录中的该属性,必须在相应的 CONTAINER 记录中更改 MEMBERS 属性。
在 chres、editres 或 newres 命令中使用 mem+ 或 mem‑ 参数可以修改该属性。
(信息性)。 文件的 RSA-MD5 签名。
资源的 NACL 属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目均包含下列信息:
定义访问者。
定义拒绝授权访问者的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令修改该属性。
定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户。
范围:30 个字符。
定义拥有记录的用户或组。
定义由特定程序(或符合某种名称模式的程序)发出访问请求时被允许访问资源的访问者的列表及其访问类型。 程序 Access Control 列表 (PACL) 中的每个元素均包含下列信息:
定义访问者。
定义对 PROGRAM 类中的记录的引用,方式为专门指定,或者按照通配符模式匹配。
定义访问者对资源的访问权限。
注意:可以使用通配符指定 PACL 中的资源。
在 selang authorize 命令中使用 via(pgm) 参数可向 PACL 中添加程序、访问者及其访问类型;可以使用 authorize- 命令从 PACL 中删除访问者。
注意:对于 PROGRAM 类中的资源,PACL 仅适用于 UNIX 中的 setuid/setgid 程序或 Windows 中具有文件资源的程序。 CA ControlMinder 首先检查文件资源记录,如果允许访问,则会检查程序资源记录。
定义由 CA ControlMinder 自动生成的程序信息。
监视程序会自动验证该属性中存储的信息。 如果它已被更改,则 CA ControlMinder 会将程序定义为未受托。
可以选择下列任一标志,以便从该验证过程中排除关联信息:
循环冗余检查和 MD5 签名。
(仅适用于 UNIX)上次更改文件状态的时间。
UNIX 中文件所在的逻辑磁盘。 Windows 中包含文件的磁盘的驱动器号。
拥有程序文件的组。
UNIX 中程序文件的文件系统地址。 在 Windows 中,这没有任何意义
程序文件的相关安全保护模式。
上次修改程序文件的时间。
拥有程序文件的用户。
SHA1 签名。 称为安全散列算法的数字签名方法,可应用于程序或敏感文件。
程序文件的大小。
在 chres、editres 或 newres 命令中使用 flags、flags+ 或 flags- 参数,可以修改该属性的标志。
定义在审核日志中 CA ControlMinder 记录的访问事件的类型。 RAUDIT 可从 Resource AUDIT 中派生出它的名称。 有效值包括:
所有访问请求。
已授权的访问请求。
拒绝的访问请求(默认)。
无访问请求。
CA ControlMinder 可记录有关对资源的每个尝试访问事件,不记录是否将访问规则直接应用到资源,或应用到将资源作为成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
定义用户或资源的安全级别。
注意:SECLABEL 属性对应 chres 和 ch[x]usr 命令的 label[-] 参数。
定义访问者或资源的安全级别。
注意:该属性对应 ch[x]usr 和 chres 命令的 level[-] 参数。
定义对资源的默认访问权限,它指明向未定义到 CA ControlMinder 或未出现在资源 ACL 中的访问者授予的访问权限。
在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改该属性。
定义资源是否未受托。 如果设置了 UNTRUST 属性,则访问者将无法使用该资源。 如果未设置 UNTRUST 属性,则资源数据库中列出的其他属性将用于确定访问者的访问权限。 如果以任何方式更改了受托资源,CA ControlMinder 会自动设置 UNTRUST 属性。
在 chres、editres 或 newres 命令中使用 trust[-] 参数可以修改该属性。
(信息性)。 程序已取消受托的原因。
(信息性)显示上次修改记录的日期和时间。
(通知)显示执行更新的管理员。
指明是否启用警告模式。 在资源上启用警告模式后,允许对该资源的所有访问请求;如果某个访问请求违反某条访问规则,将在审核日志中写入一条记录。
|
版权所有 © 2013 CA。
保留所有权利。
|
|