限制对文件和目录的访问

端点管理指南：用于 UNIX › 保护文件和程序 › 限制对文件和目录的访问

限制对文件和目录的访问

CA ControlMinder 不改变 UNIX 的权限系统，但向其添加一个增强的访问权限控制层。

CA ControlMinder 截获下列各种文件的访问操作，并在将控制返回 UNIX 之前验证用户是否拥有执行特定操作的权限。访问类型位于括号中。

创建文件 (create)
打开文件进行读取（读取）
注意：如果您需要读取权限以控制用户是否可以执行获取文件（例如 ls -l）相关信息的操作，请将 STAT_intercept 配置设置设为 1。有关详细信息，请参阅 Reference Guide。
打开文件进行写入（写入）
执行文件 (execute)
删除文件 (delete)
重命名文件（删除、重命名）
更改权限位 (chmod)
更改所有者 (chown)
更改时间戳 — 例如，作为执行 touch 命令的结果 (utime)
编辑本机 ACL — 使用 acledit 命令 — 对于支持 ACL 的系统 (sec)
更改目录 (chdir)

CA ControlMinder 访问检查与本地 UNIX 授权存在下列不同：

CA ControlMinder 基于登录用户的原始用户 ID 而非有效用户 ID (euid) 进行授权检查。例如，如果 userA 调用 su 命令替代其他用户，则 userA 仍然只能访问允许 userA 访问的那些文件。与在 UNIX 中不同，代理其他用户的操作不会向原始用户自动授予对目标用户文件的访问权限。
CA ControlMinder 不向超级用户 (root) 授予自动访问系统上每个文件的权限。超级用户与系统的所有其他用户一样，必须接受授权检查。
授权检查基于 CA ControlMinder 常规和条件访问权限列表、日期和时间限制、安全级别、安全类别和安全标签。
如果未显式授权用户访问某个文件，则 CA ControlMinder 会检查该用户是否属于已授权访问该文件的任何组。
将通过常规 CA ControlMinder 审核过程审核每次文件访问。
删除文件时，CA ControlMinder 将要求用户拥有对指定文件的删除访问权限，而 UNIX 要求用户拥有对父目录的写入权限。
要重命名文件，用户必须拥有对源文件的删除访问权限和对目标文件的重命名访问权限。 UNIX 还要求该用户具有对父目录的写入访问权限。
所有用户都被授予对文件 /etc/passwd 和 /etc/group 的永久读取权限（最低权限），而无论这些文件的默认设置为何。这可避免可能的系统挂起。
CA ControlMinder 数据库中 FILE 对象的所有者始终拥有对该对象保护的文件的完全访问权限。
chdir 访问权限类型专门控制 chdir 命令但不执行该命令，这与 UNIX 相同。

下面是文件保护系统的一些限制：

对于不属于特殊 _restricted 组成员的用户，CA ControlMinder 仅能保护下列文件和目录：
- 由数据库中的相应文件和目录名称定义的文件和目录
- 与数据库中定义的名称模式（例如，/etc/*）匹配的文件和目录
对于属于 _restricted 组的用户，所有系统文件都受 CA ControlMinder 的保护。对于未在数据库中定义的文件，授权基于 FILE 类的 _default 记录。
CA ControlMinder 维护一个表，该表中的所有文件名和目录名（包括使用通配符的模式）指明了需要保护的资源。可用于该表的内存量有限。通常，可通过数据库中的各个名称定义的文件和目录的最大数为 4096，名称模式的最大数为 512。
即使不存在用于某些文件的显式访问规则，这些文件仍会受到保护。这些文件包括 CA ControlMinder 数据库文件、审核日志以及配置文件。
注意：有关详细信息，请参阅《参考指南》中的 FILE 类。

CA ControlMinder 支持下列文件访问类型。

ALL
CHDIR
CHMOD
CHOWN
CONTROL
CREATE
DELETE
EXECUTE
无
READ
RENAME
SEC
UPDATE
UTIME
WRITE

文件保护系统用于保护包含敏感数据的选定文件集。例如，您可以使用 CA ControlMinder 保护下列文件：

/etc/passwd
/etc/group
/etc/hosts
/etc/shadow

应使用 CA ControlMinder 保护数据库（应仅为服务器后台程序授予访问权限）和您站点上所有其他敏感文件。

始终需要访问控制的部分文件由规则管理，即使您并没有指定相应规则。