주요 콘텐츠로 건너뛰기

폴 그린과 저는 그가 check_module_security 부름받은 새로운 명령에 대해 논의하고 있었습니다. 로그인 프롬프트에서 사용할 수 있는 불필요한 명령의 주제가 올라왔습니다. 트랜잭션 디자인의 존 슈미트는 헛간 문을 잠그는것에 대한 기사에서 권장합니다.

내부 명령:

display_current_module (prelogin)
list_modules (prelogin) display_date_time (prelogin)
list_systems (prelogin)
display_line (prelogin)
login (prelogin)
If there are other commands shown, remove them.

나는 같은 명령에 대해 생각하게 list_moduleslist_systems; 자체 모듈 이나 시스템을 보호하는 데 어려움을 겪었더라도 이러한 명령은 해커에게 안전하지 않을 수 있고 악용 될 수있는 다른 모듈 / 시스템에 대한 힌트를 줄 수 있습니다. login -module. 그래서 우리는 prelogin 시간에 그들의 사용을 방지 하는 방법에 대 한 궁금. 내가 찾은 한 가지 방법은 다음과 같습니다.

액세스 목록 이름으로 사용할 고유 이름 파일을 만듭니다. 이 경우, 나는 prelogin_no_access 일부 사용자가 액세스하는 것을 금지하려는 명령에 첨부할 수 있습니다. 파일의 내용은 아무 소용이 없습니다 - 그것은 그 문제에 첨부 된 액세스 제어 목록입니다. 파일은 특별한 장소에 간다 : (master_disk)>system>acl 디렉터리. 제한하려는 사용자는 PreLogin.System[ 로그인 프롬프트를 실행하는 사용자입니다. 로그인 후 다른 사용자에 대한 액세스를 허용하는 것을 잊지 마십시오. 권한 있는 사용자여야 하며 SysAdmin 대부분의 사이트를 그룹화하여 이러한 작업을 수행합니다.

change_current_dir (master_disk)>system>acl
create_file prelogin_no_access
give_access null prelogin_no_access -user PreLogin.System
give_access write prelogin_no_access -user *.*

제한하려는 명령이 해당 액세스 목록을 사용하도록 internal_commands.tin에서 구성되었는지 확인합니다...

%phx_vos#m14_mas>system.14.7>구성>internal_commands.tin 07-10-02 12:14
/ =이름 display_current_module
=access_list_name prelogin_no_access
=감사 0
/ =이름 list_modules
=access_list_name prelogin_no_access
=감사 0

변경해야 하는 경우 변경 사항을 적용해야 합니다.

create_table internal_commands.ti
broadcast_file internal_commands.table (master_disk)>system
configure_commands

지금, 당신은 로그인에서 금지 명령을 사용하려고 할 수 있습니다

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:19
help
Internal Commands:
change_password (prelogin)              help (prelogin)
display_current_module (prelogin)       list_modules (prelogin)
display_date_time (prelogin)            list_systems (prelogin)
display_line (prelogin)                 login (prelogin)
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:23
list_modules
command_processor: Not enough access to perform operation. list_modules.

모든 내부 명령을 제한하지 는 않았습니다. 따라서 영향을 받지 않는 것을 계속 사용할 수 있습니다.

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:29
list_systems
phx_osn  . . . . . . online (local)
phx_test . . . . . . online (local)
phx_vos  . . . . . . online (current system)

그래서 당신이 중요하다고 생각하는 사람들을 제한하는 것을 기억하십시오.

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:39
display_current_module
command_processor: Not enough access to perform operation.
display_current_module.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:53

보너스가 있습니다: 보안 로깅을 사용하도록 설정한 경우 보안 로그 항목은 누군가가 명령 중 하나를 사용하려고 시도했다는 것을 알리기 위해 만들어집니다.

1:  07-10-02 12:16:20 mst PreLogin.System %phx_vos#tli_log.m15_65
Target: list_modules
Text: Not enough access to perform operation. Validating object access.

우리는 모든 것을 얻었습니까? 아니 긴 샷에 의해. 다음은 이 빠른 자습서의 단점에 대한 작은 목록입니다.
– list_modules display_current_module 명령이 비활성화되어 있더라도 로그인 배너는 여전히 모듈 이름을 지정합니다.
– 로그인 배너는 여전히 릴리스 이름을 표시할 때 이것이 VOS 시스템이라는 단서를 제공합니다.
– list_systems 명령은 여전히 작동 (이 예제에 대 한 의도적, 하지만 그것은 뿐만 아니라 금지 해야).

보너스 는 다른 무엇을 할 수있는 것을 발견하는 사람들에게 포인트. 힌트: 명령 함수는 여전히 작동합니다.

-댄 단즈, VOS 서비스 기술 컨설턴트

폴 그린과 저는 그가 check_module_security 부름받은 새로운 명령에 대해 논의하고 있었습니다. 로그인 프롬프트에서 사용할 수 있는 불필요한 명령의 주제가 올라왔습니다. 트랜잭션 디자인의 존 슈미트는 헛간 문을 잠그는것에 대한 기사에서 권장합니다.

내부 명령:

display_current_module (prelogin)
list_modules (prelogin) display_date_time (prelogin)
list_systems (prelogin)
display_line (prelogin)
login (prelogin)
If there are other commands shown, remove them.

나는 같은 명령에 대해 생각하게 list_moduleslist_systems; 자체 모듈 이나 시스템을 보호하는 데 어려움을 겪었더라도 이러한 명령은 해커에게 안전하지 않을 수 있고 악용 될 수있는 다른 모듈 / 시스템에 대한 힌트를 줄 수 있습니다. login -module. 그래서 우리는 prelogin 시간에 그들의 사용을 방지 하는 방법에 대 한 궁금. 내가 찾은 한 가지 방법은 다음과 같습니다.

액세스 목록 이름으로 사용할 고유 이름 파일을 만듭니다. 이 경우, 나는 prelogin_no_access 일부 사용자가 액세스하는 것을 금지하려는 명령에 첨부할 수 있습니다. 파일의 내용은 아무 소용이 없습니다 - 그것은 그 문제에 첨부 된 액세스 제어 목록입니다. 파일은 특별한 장소에 간다 : (master_disk)>system>acl 디렉터리. 제한하려는 사용자는 PreLogin.System[ 로그인 프롬프트를 실행하는 사용자입니다. 로그인 후 다른 사용자에 대한 액세스를 허용하는 것을 잊지 마십시오. 권한 있는 사용자여야 하며 SysAdmin 대부분의 사이트를 그룹화하여 이러한 작업을 수행합니다.

change_current_dir (master_disk)>system>acl
create_file prelogin_no_access
give_access null prelogin_no_access -user PreLogin.System
give_access write prelogin_no_access -user *.*

제한하려는 명령이 해당 액세스 목록을 사용하도록 internal_commands.tin에서 구성되었는지 확인합니다...

%phx_vos#m14_mas>system.14.7>구성>internal_commands.tin 07-10-02 12:14
/ =이름 display_current_module
=access_list_name prelogin_no_access
=감사 0
/ =이름 list_modules
=access_list_name prelogin_no_access
=감사 0

변경해야 하는 경우 변경 사항을 적용해야 합니다.

create_table internal_commands.ti
broadcast_file internal_commands.table (master_disk)>system
configure_commands

지금, 당신은 로그인에서 금지 명령을 사용하려고 할 수 있습니다

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:19
help
Internal Commands:
change_password (prelogin)              help (prelogin)
display_current_module (prelogin)       list_modules (prelogin)
display_date_time (prelogin)            list_systems (prelogin)
display_line (prelogin)                 login (prelogin)
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:23
list_modules
command_processor: Not enough access to perform operation. list_modules.

모든 내부 명령을 제한하지 는 않았습니다. 따라서 영향을 받지 않는 것을 계속 사용할 수 있습니다.

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:29
list_systems
phx_osn  . . . . . . online (local)
phx_test . . . . . . online (local)
phx_vos  . . . . . . online (current system)

그래서 당신이 중요하다고 생각하는 사람들을 제한하는 것을 기억하십시오.

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:39
display_current_module
command_processor: Not enough access to perform operation.
display_current_module.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:53

보너스가 있습니다: 보안 로깅을 사용하도록 설정한 경우 보안 로그 항목은 누군가가 명령 중 하나를 사용하려고 시도했다는 것을 알리기 위해 만들어집니다.

1:  07-10-02 12:16:20 mst PreLogin.System %phx_vos#tli_log.m15_65
Target: list_modules
Text: Not enough access to perform operation. Validating object access.

우리는 모든 것을 얻었습니까? 아니 긴 샷에 의해. 다음은 이 빠른 자습서의 단점에 대한 작은 목록입니다.
– list_modules display_current_module 명령이 비활성화되어 있더라도 로그인 배너는 여전히 모듈 이름을 지정합니다.
– 로그인 배너는 여전히 릴리스 이름을 표시할 때 이것이 VOS 시스템이라는 단서를 제공합니다.
– list_systems 명령은 여전히 작동 (이 예제에 대 한 의도적, 하지만 그것은 뿐만 아니라 금지 해야).

보너스 는 다른 무엇을 할 수있는 것을 발견하는 사람들에게 포인트. 힌트: 명령 함수는 여전히 작동합니다.

© 2024 스트라투스 테크놀로지스.