内部ファイルの保護(UNIX)

インストール中に、PAM により、2 つのタイプの内部ファイルを保護するルールが書き込まれます。
capamsc141
インストール中に、
Privileged Access Manager
により、2 つのタイプの内部ファイルを保護するルールが書き込まれます。
  • : 設定ファイル、ログ ファイル、およびデータベース ファイルが保護されます。
    内部ルールは削除できません。
  • : 通信の暗号化および認証に使用するルート証明書およびサーバ証明書などの機密ファイルを保護します。
    デフォルト ルールはインストール後に削除できます。

内部ファイル ルール

内部ファイル ルールにより、設定ファイル、ログ ファイル、およびデータベース ファイルが保護されます。内部ファイル ルールは、selang に表示されず、削除できません。
Privileged Access Manager
により内部ファイル ルールで保護されるファイルには、以下のアクセス権限があります。
  • Privileged Access Manager
    の内部プロセスへのフル アクセス
  • その他のすべてのアクセサに関する読み取りアクセスと実行アクセス(関連する場合)
FILE ルールを記述して、内部ファイル ルールを置き換えることができます。これらの FILE ルールを削除すると、
Privileged Access Manager
によって内部ファイル ルールが復帰します。
Privileged Access Manager
では、内部ファイル ルールで以下のファイルが保護されます。表の 2 番目の列には、ファイルの場所を示す構成設定が一覧表示されます(該当する場合)。
注:
一部のファイルの場所は内部的に定義され、対応する構成設定がありません。これらのファイルの場所を設定することはできません。
ファイル
seos.ini 内のセクションと設定
デフォルトのファイルの場所
すべてのデータベース ファイル
[seosd] dbdir
ACInstallDir
/seosdb
seos.ini
-
ACInstallDir
privpgms.ini
-
ACInstallDir
/etc
loginpgms.ini
-
ACInstallDir
/etc
xdmpgms.init
-
ACInstallDir
/etc
nfsdevs.init
[seosd] nfs_devices
ACInstallDir
/etc
osver
-
ACInstallDir
/etc
accommon.ini
-
ACSharedDir
seos.audit
[logmgr] audit_log
ACInstallDir
/log
seos.audit.bak*
[logmgr] audit_back
ACInstallDir
/log
seos.error
[logmgr] error_log
ACInstallDir
/log
kbl.audit
[kblaudit] audit_log
ACInstallDir
/log
kbl.audit.bak
[kblaudit] audit_back
ACInstallDir
/log
kbl.error
[kblaudit] error_log
ACInstallDir
/log
すべてのファイル
(protect_bin が ON の場合)
-
ACInstallDir
/bin
AC
[kblaudit] cmd_log
/etc
ACInstallDir
/lbin/cmdlog へのシンボリック リンク

デフォルト ファイル ルール

Privileged Access Manager
では、機密ファイルを保護するために、インストール中にデフォルト ファイル ルールが作成されます。デフォルト ファイル ルールは、selang に表示され、削除できます。
以下の表では、
Privileged Access Manager
によりデフォルト ファイル ルールで保護される機密ファイルと、そのアクセス権限および許可されているアクセサが一覧表示されています。
この表では、
PMDBDir
は Policy Model データベース(PMDB)があるディレクトリであり、
pmd_name
は各 Policy Model の名前です。デフォルトでは、
PMDBDir
ACInstallDir
/policies にあります。
PMDBDir
の場所は、seos.ini ファイルの pmd セクションの _pmd_directory_ トークンに定義されています。
ファイル
デフォルト アクセス
許可されているアクセサ
ACInstallDir
/data/crypto/crypto.dat
なし
sechkey
ACInstallDir
/data/crypto/def_root.pem*
なし
sechkey
ACInstallDir
/data/crypto/sub.key
なし
sechkey
ACInstallDir
/data/crypto/sub.pem
なし
sechkey
ACInstallDir
/log/policyfetcher.log
読み取り
+policyfetcher
ACInstallDir
/ladb/*db.la*
読み取り
sebuildla
/etc/passwd
すべて
すべて
/etc/shadow
すべて
すべて
PMDBDir/pmd_name
/hsock
Read、Write、Execute、Cre、Chown、Chmod、Utime
seagent、sepmdd
PMDBDir/pmd_name
/pmd.ini
読み取り
seagent、sepmdd
PMDBDir/pmd_name
/seos_*
Read、Write、Execute、Cre、Chown、Chmod、Utime
seagent、sepmdd
PMDBDir/pmd_name
/socket
Read、Write、Execute、Cre、Chown、Chmod、Utime
seagent、sepmdd