メインコンテンツまでスキップ

NetApp_Insight_2020.png 

fpolicy :ネイティブファイルブロッキング

Views:
17
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
cifs
Last Updated:

すべてのとおり  

に適用されます

  • 『Data ONTAP 8.
  • ONTAP 9

回答

概要

一部の管理者は、特定のファイルタイプをファイルサーバに格納できないポリシーを設定したいと考えています。音楽、ビデオなどのファイルタイプがあります。このよう
なファイルのスキャンは、ファイル拡張子に基づいて実行できます( Data ONTAP のネイティブサポート)。たとえば、 *.mp3 に一致するすべてのファイルをブロックします。これは、高速で信頼性の低いアプローチです。ファイルへのデータアクセスは必要ありません。ファイル拡張子に基づくファイルブロックのネイティブサポートでは、外部 FPolicy サーバへの接続は必要ありません。

File Magic Signature (外部サーバが必要)に基づいて、たとえば、 Magic と Signature が MP3 形式に一致するすべてのファイルをブロックします。FPolicy サーバがファイル内のデータにアクセスする必要があるため、この処理は遅くなります。これは、ウイルス対策スキャナがウイルスを検出する場合と同様に、シグネチャの照合が行われるとより正確になります。

詳細については、次のリンクを参照してください。

ONTAP 9 の FPolicy ファイル・ブロッキング

管理者は、作成、オープン、クローズ、および名前変更のリクエストに対してイベントを有効にします。FPolicy サーバにこれらのイベントトリガーが通知されると、 2 つのメカニズム(ファイル拡張子またはファイル署名)のいずれかに基づいてチェックを実行し、一致する場合は要求を拒否できます。

構成例

ネイティブ FPolicy を設定するには、次の手順を実行します。

  1. ポリシーイベントを設定します。

    Cluster::> vserver fpolicy policy event create -vserver SvmName -event-name Event -protocol cifs -file-operations create,open,rename
    Cluster::> vserver fpolicy policy event show -vserver SvmName -event-name Event -instance

         Vserver: SvmName
                       Event: Event
                    Protocol: cifs
             File Operations: create, open, rename
                     Filters: -
    Is Volume Operation Required: false

  1. ポリシーの設定:

    Cluster::> vserver fpolicy policy create -vserver SvmName -policy-name blockext -events Event -engine native -is-mandatory true -allow-privileged-access no -is-passthrough-read-enabled false
    Cluster::> vserver fpolicy policy show -vserver SvmName -instance
     

                         Vserver: SvmName
                       Policy: blockext
              Events to Monitor: Event
                 FPolicy Engine: native
       Is Mandatory Screening Required: true
       Allow Privileged Access: no
       User Name for Privileged Access: -
       Is Passthrough Read Enabled: false
       Configure Policy Scope:
       Cluster::> vserver fpolicy policy scope create -vserver SvmName -policy-name blockext -file-extensions-to-include        mp3,mp4,flv,wmv -shares-to-include "*" -is-file-extension-check-on-directories-enabled true
       Cluster::> vserver fpolicy policy scope show -vserver SvmName -instance
                                       Vserver: SvmName
        Policy: blockext
                             Shares to Include: *
                             Shares to Exclude: -
                            Volumes to Include: -
                            Volumes to Exclude: -
                    Export Policies to Include: -
                    Export Policies to Exclude: -
                    File Extensions to Include: mp3, mp4, flv, wmv
                 File Extensions to Exclude: -
        Is File Extension Check on Directories Enabled: tru

  1. ポリシーを有効にする:

Cluster::> vserver fpolicy enable -vserver SvmName -policy-name blockext -sequence-number 1
Cluster::> vserver fpolicy show -vserver SvmName
                      Sequence
Vserver  Policy Name  Number   Status  Engine
-------  -----------  --------  ------  ------
SvmName  blockext    1        on      native
Cluster::> event log show -time > 2m

Time                Node         Severity      Event
------------------- ------------ ------------- --------------------------
3/27/2017 10:35:34  cm2520n2-ams INFORMATIONAL mgmt.fpolicy.policy.enabled: FPolicy policy blockext is enabled on Vserver SvmName.


Tests results using above policy from a Windows client:

Attempt to rename a file using mp3, mp4, flv, or wmv extension is Denied
Attempt to open a file with mp3, mp4, flv, or wmv extension is Denied
Attempt to delete a file with mp3, mp4, flv, or wmv extension is Denied
Attempt to copy a file with mp3, mp4, flv, or wmv extension to the share is Denied

 
詳細については、ご使用の ONTAP バージョンの『 CIFS and NFS Auditing Guide 』を参照してください。

トラブルシューティング

ポリシーを無効にして、問題の原因が他にないことを確認します。次に、ブロッキングポリシーの設定を確認します。必要なアクションと経験豊かなアクションの比較によって、必要なアクションが影響を受けます。

便利なコマンド / ログ:
  • fpolicy policy show

  • fpolicy policy scope show

  • fpolicy policy event show

  • /etc/log/ems

  • /etc/log/mlog/fpolicy.log*

  • /etc/log/mlog/mgwd.log*

  • AutoSupport Sections:

    • フル自動サポート(週単位および手動)

      • fpolicy policy show = FPOLICY-POLICY-STATUS.XML

      • fpolicy policy scope show = FPOLICY-SCOPE.XML

      • fpolicy policy event show = FPOLICY-EVENT.XML

    • 日常管理と手動自動サポート:

      • /etc/log/mlog/fpolicy.log* = FPOLICY-MLOG-TXT.GZ 

 

 

 

  • この記事は役に立ちましたか?