ファイル アクセスの防止
所有者のない FILE レコードを定義すると便利な場合があります。所有者のない FILE レコードを selang で定義するには、特別な所有者である「nobody」を使用します。
capamsc141jp
所有者のない FILE レコードを定義すると便利な場合があります。所有者のない FILE レコードを selang で定義するには、特別な所有者である「nobody」を使用します。
例: /tmp/binary.bkup ファイルを保護ファイルとして定義し、すべてのユーザがこのファイルにアクセスできないようにするには、次の selang コマンドを入力します。
newres FILE /tmp/binary.bkup owner(nobody) defaccess(N)
この newres コマンドを実行すると、たとえこのコマンドを定義したユーザ(root であるかどうかに関係なく)であっても、ファイルにアクセスすることはできません。すべてのユーザをファイルにアクセスできないようにした後、そのファイルへのアクセス権を 1 人または複数のユーザに明示的に与えます。
ユーザに保護ファイルへのアクセスを明示的に許可するには、authorize コマンドを使用します。例: /tmp ディレクトリ内の Jo で始まるすべてのファイルに対する更新アクセス権限をユーザ「
userJo
」に与えるには、次のコマンドを入力します。authorize FILE /tmp/Jo* uid(userJo) acc(Update)
注:
Privileged Access Manager Server Control
では、独自のデータベースに定義されているファイルのみが保護されます。