Bloquear creación de ficheros con una extensión determinada en NetApp

Vamos a crear una regla para impedir crear o modificar ficheros con un tipo de extensión determinada en cifs.

Nos conectamos a la cabina por linea de comandos.con un usuario con acceso, en mi caso lo realizo con root.

Se crea la política de tipo screen con el siguiente comando:
fpolicy create nombrePolitica tipoPolitica
fpolicy create CryptoLocked screen

Se muestra el resultado en pantalla
File policy CryptoLocked created successfully.

Añadimos a la política ficheros con un tipo de extensión
fpolicy tipoBloqueo include set nombrePolitica nombreExtension
fpolicy extension include set CryptoLocker encrypted

Indicar el tipo de monitorización de la política en cifs y nfs para ficheros creados y renombrados
fpolicy monitor set nombrePolitica -p dondeMonitoriza accionMonitoriza
fpolicy monitor set CryptoLocker -p cifs,nfs create,rename

Activar la monitorización de la polític
fpolicy options nombrePolitica required on
fpolicy enable nombrePolitica
fpolicy options CryptoLocker required on
fpolicy enable CryptoLocker

El sistema avisa de las repercusiones que va a suponer activar esta política, aceptamos
Warning: User requests may be denied because there are no file screening servers registered with the filer. Are you sure? y

El sistema indica que la política está habilitada
File policy CryptoLocker (file screening) is enabled.
Wed May  6 13:25:41 CEST [nombreServidor:fpolicy.fscreen.enable:info]: FPOLICY: File policy CryptoLocker (file screening) is enabled.
Wed May  6 13:28:28 CEST [nombreServidor:ems.engine.suppressed:debug]: Event 'cifs.op. unsupported' suppressed 1490 times in last 1801 seconds.

Para ver el estado de la políticas introducimos el comando:
fpolicy show nombrePolitica
fpolicy show CryptoLocker
 Mostrará:
File policy CryptoLocker (file screening) is enabled.

No file policy servers are registered with the filer.

Operations monitored:
File create,File rename
 Above operations are monitored for NFS and CIFS

List of extensions to screen:
 ENCRYPTED

List of extensions not to screen:
 Extensions-not-to-screen list is empty.

Number of requests screened          :  0
Number of screen failures            :  0
Number of requests blocked locally   :  2621
madsrv71> Wed Jul 29 08:57:17 CEST

Para añadir una extensión hay que re-escribir la lista completa, en caso contrario sobreescribirás la lista con la última extensión.

fpolicy extension include set CryptoLocker encrypted,zzz
fpolicy show cryptoLocker

File policy CryptoLocker (file screening) is enabled.

No file policy servers are registered with the filer.

Operations monitored:
File create,File rename
 Above operations are monitored for NFS and CIFS

List of extensions to screen:
 ENCRYPTED,ZZZ

List of extensions not to screen:
 Extensions-not-to-screen list is empty.

Number of requests screened          :  0
Number of screen failures            :  0
Number of requests blocked locally   :  2621 

Opciones de fpolicy con /?
fpolicy /?
The following commands are available; for more information type "fpolicy help <command>"

     fpolicy help        - List of file policy commands.
     fpolicy show        - File policy status command.
     fpolicy create      - Create a new file policy.
     fpolicy destroy     - Destroy an existing file policy.
     fpolicy enable      - Enable specified file policy command.
     fpolicy disable     - Disable specified file policy command.
     fpolicy ext[ension] - File policy file extension command.
     fpolicy options     - File policy configuration command.
     fpolicy servers     - File policy server command.
     fpolicy vol[ume]    - File policy volume filtering command.
     fpolicy mon[itor]   - File policy monitor command.
  
Para eliminar la política
fpolicy destroy nombrePolitica
fpolicy destroy CryptoLocked
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)