ユーザによるシステムの su ユーティリティの実行防止

sesu ユーティリティが構成されていても、誰でも、以前と同様に、root またはユーザのパスワードを使用して、su.ORIG (名前を変更したシステム su ユーティリティ)を実行できます。これを防止するには、PROGRAM クラスを使用して、 の実行時に、su.ORIG の実行を阻止します。
capamsc141jp
sesu ユーティリティが構成されていても、誰でも、以前と同様に、root またはユーザのパスワードを使用して、su.ORIG (名前を変更したシステム su ユーティリティ)を実行できます。これを防止するには、PROGRAM クラスを使用して、
Privileged Access Manager Server Control
の実行時に、su.ORIG の実行を阻止します。
注:
Privileged Access Manager Server Control
のインストールおよび構成時に seuidpgm を使用した場合、この手順に従う必要はありません。su は変更(su.ORIG に名前変更)されたため、実行されません。
ユーザのシステム su ユーティリティ実行の阻止方法
  1. selang の以下のコマンドを使用して、
    Privileged Access Manager Server Control
    が名前を変更した su ユーティリティを監視するようにします。
    nr program su_dir/su.ORIG defacc(x) own(nobody)
  2. root としてログインし、ファイルのアクセスおよび変更時間を変更します。次のコマンドを使用します。
    touch su_dir/su.ORIG
    Privileged Access Manager Server Control
    は su.ORIG を監視しているため、
    変更が加えられた
    su.ORIG の実行は阻止されます。