![下一主题: ch[x]grp 命令 - 更改组属性](573.png)
在 AC 环境中有效
使用 chfile、editfile 和 newfile 命令可以处理 FILE 类中的记录。 这些命令结构相同,仅在以下方面有所不同:
注意:此命令也存在于本地环境,但以不同的方式操作。
要添加或更改属于 FILE 类的某个文件的记录,您必须对该文件拥有足够的权限。 CA ControlMinder 进行以下检查,直到满足下列条件之一:
{{chfile|cf}|{editfile|ef}|{newfile|nf}} filename... \
[audit{none|all|success|failure}] \
[category[-](categoryName)] \
[comment(string)|comment‑] \
[defaccess(accessAuthority)] \
[label(labelName)|label‑] \
[level(number)|level‑] \
[notify(mailAddress)|notify‑] \
[gowner(groupName)] \
[owner({userName|groupName})] \
[restrictions( \
[days({anyday|weekdays|{[mon] [tue] [wed] \
[thu] [fri] [sat] [sun]}})] \
[time({anytime|startTime:endTime}) \
|restrictions‑] \ [warning|warning‑]
指定记录哪些访问事件。 访问类型包括:
注意:要使用审核参数,您必须具有 AUDITOR 属性。
定义安全类别记录(在 CATEGORY 类中定义)的空格或逗号分隔的列表,以便分配给文件。
如果 CATEGORY 类为不活动状态时,您指定类别参数,CA ControlMinder 则更新数据库中文件的定义;然而,更新的类别分配没有任何效果,直到 CATEGORY 类重新激活。
注意:有关安全类别检查的详细信息,请参阅适用于 OS 的《端点管理指南》。
从资源记录中删除一个或多个安全类别。 删除多个安全类别时,请用空格或逗号分隔安全类别名称。
指定的安全类别不管 CATEGORY 类是否处于活动状态,都从资源记录中删除。
注意:此参数只有在修改记录时有效。
将字母数字字符串添加到组记录中。 如果先前将注释字符串添加到组记录中,那么在此指定的新字符串会替换现有字符串。
格式:多达 255 个字符(包括双字节)和特殊字符。 如果字符串包含任何空格,用引号将该字符串引起来。
从文件记录中删除注释字符串。
注意:此参数只有在修改记录时有效。
指定文件的默认访问权限。 默认访问权限是授予请求访问文件的任何访问者的权限,但不在文件的访问控制列表中。 默认访问权限也应用于未在数据库中定义的用户。
定义文件记录的名称。 必须至少指定一个文件名。
如果您正在使用常规文件名添加或更改类 FILE 中的记录,请使用 selang 允许的通配符表达式。 定义或更改多个记录时,用圆括号括住文件名列表,并以空格或逗号分隔文件名。
注意:如果指定多个文件名,CA ControlMinder 根据指定的参数,单独处理每个文件记录。 如果在处理文件时发生错误,CA ControlMinder 会发出消息,并继续使用列表中的下一个文件处理。
将 CA ControlMinder 组分配为文件记录的所有者。 如果有足够的允许访问该文件的组所有者的安全级别、安全标签和安全类别权限,那么文件记录的组所有者对该文件有无限制的访问权限。 总是允许文件的组所有者更新和删除文件记录。
将在 SECLABEL 类中定义的安全标签分配给文件。 安全标签代表特定安全级别与零或多个安全类别之间的关联。 如果资源记录当前包含安全标签,那么在此指定的安全标签会替换当前的安全标签。
注意:有关安全标签检查的详细信息,请参阅适用于 OS 的《端点管理指南》。
删除在文件记录中定义的安全标签。
注意:此参数只有在修改记录时有效。
将安全级别分配给资源记录。 输入介于 1 和 255 之间的正整数。 如果安全级别先前被分配给资源记录,新值则替换现有值。
注意:有关安全级别检查的详细信息,请参阅适用于 OS 的《端点管理指南》。
停止 CA ControlMinder 为资源执行安全级别检查。
注意:此参数只有在修改记录时有效。
成功访问由资源记录代表的文件时,指导 CA ControlMinder 发送通知消息。 请输入用户名、用户的电子邮件地址或邮件组的电子邮件地址(如果指定了别名)。
只有在日志路由系统处于活动状态时,才会发生通知。 将通知消息发送给屏幕或用户的邮箱,这取决于日志路由系统的设置。
每次发送通知消息时,都会在审核日志中写入审核记录。
通知信息的收件人应频繁登录以响应在每个消息中描述的未经授权的访问尝试。
限制:30 个字符。
注意:有关筛选和查看审核记录的信息,请参阅适用于 OS 的《端点管理指南》。
指定在 CA ControlMinder 授权给由记录代表的文件时,不通知任何人。
注意:此参数只有在修改记录时有效。
将 CA ControlMinder 用户或组分配为文件记录的所有者。 如果有足够的允许访问该文件的所有者的安全级别、安全标签和安全类别权限,那么文件记录的所有者对该文件有无限制的访问权限。 总是允许文件的所有者更新和删除文件记录。
指定用户可在一周的哪几天和一天的哪几个小时访问文件。
如果省略 days 参数而指定 time 参数,则时间限制将应用于记录中已经指出的任何“工作日”限制。 如果您省略 time 而指定 days,则天数限制将应用于记录中已经指出的任何“时间”限制。 如果既指定 days 也指定 time,则只允许用户在指定天数的指定时间期间允许访问系统。
指定用户可以访问文件的天数。 days 参数可使用下列子参数:
指定用户可以访问文件的时段。 time 参数可使用下列子参数:
删除限制文件访问功能的所有限制。
注意:此参数只有在修改记录时有效。
将文件置于“警告”模式。
使文件退出“警告”模式。
示例:将对文件的访问权限限制为除超级用户之外的所有用户
要限制访问 /etc/passwd 文件以便 READ 除超级用户之外的所有用户,请输入以下命令:
chfile /etc/passwd defaccess(read) owner(root)
必须符合以下条件:
示例:将对文件的访问权限限制为按时间
要阻止访问 /home/bob/secrets 文件,并允许所有者在 08:00 到 18:00 之间的工作日访问文件,请输入以下命令:
newfile /home/bob/secrets defac(none) restrictions(d(weekdays) t(0800:1800))
必须符合以下条件:
示例:阻止对您主目录的访问
要阻止所有其他用户访问主目录 (/home/bob) 中的任何文件,请在 UNIX 上输入以下命令:
newfile /home/bob/* defaccess(none)
您可以使用以下命令在 Windows 上执行相同操作:
newfile %userprofile%\* defaccess(none)
必须符合以下条件:
|
版权所有 © 2013 CA。
保留所有权利。
|
|