How do I use PIM to block SSH connections for a clean room setup?

PIM: PIM を使って SSH の接続を阻止するにはどうすればよいか？

These are basic steps to configure a PIM endpoint to block ssh connections from a specific host using the TCP and HOST Classes.

Privileged Identity Manager ( 以下、PIM) で HOST クラスや TCP クラスを使ってSSHの接続を拒否するための手順について概略を説明します。

1. HOST クラスを selang から有効化します。
   この時処理の競合を防ぐために TCP クラスは無効化します。
   so class-(TCP)
   so class+(HOST)
   
   
2. LADB に対象のホストが 正しく登録されていることをチェックしてください。
   もし含まれていない場合は hosts ファイルに追加するか、DNS を正しく設定し、sebuildla コマンドを実行してください。
   # sebuildla -H | grep example
   example.com           <IP Address of the host>
   
   
3. 上記のホスト名に対して HOST クラスのルールを作成します。
   nr host example.com owner(nobody)
   
   
4. ssh サービスにACL をアクセス拒否のルールを付加します。
   auth HOST example.com service(ssh) access(none)
   
   
5. 該当のホストからsshの接続を試行し、拒否されることをご確認ください。
   [root@example bin]# ssh example
   ssh_exchange_identification: Connection closed by the remote host
   
   
6. 監査ログ上も拒否 (D) されていることをご確認ください。
   # seaudit -a -st now-1 | grep D
   CA ControlMinder seaudit  v12.91.0.301 - Audit log lister
   Copyright (c) 2013 CA. All rights reserved.
   21 Apr 2017 11:28:40 D HOST         ssh                  156  3 example.com /usr/sbin/sshd

TCP クラスを利用する場合は以下の例のように設定してください。

1. selang コマンドから TCP クラスを有効化し、HOST と CONNECT クラスを無効化してください。
   so class+(TCP)
   so class-(HOST)
   so class-(CONNECT)
   
   
2. 対象のホストを LADB に登録されているホスト名で HOST クラスのルールに登録します。
   nr host example.com owner(nobody)
   
   
3. TCPクラスのルールを作成します。 この例では送受信はすべて許可とします。
   nr TCP ssh owner(nobody) defacc(all)
   
   
4. HOSTクラスに登録した特定のホストだけ接続を拒否します。
   auth TCP ssh host(example.com) access(none)

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 10150: How do I use PIM to block SSH connections for a clean room setup?