内部ファイルの保護(UNIX)
インストール中に、 により、2 つのタイプの内部ファイルを保護するルールが書き込まれます。
capamsc141
インストール中に、
Privileged Access Manager
により、2 つのタイプの内部ファイルを保護するルールが書き込まれます。- : 設定ファイル、ログ ファイル、およびデータベース ファイルが保護されます。内部ルールは削除できません。
- : 通信の暗号化および認証に使用するルート証明書およびサーバ証明書などの機密ファイルを保護します。デフォルト ルールはインストール後に削除できます。
内部ファイル ルール
内部ファイル ルールにより、設定ファイル、ログ ファイル、およびデータベース ファイルが保護されます。内部ファイル ルールは、selang に表示されず、削除できません。
Privileged Access Manager
により内部ファイル ルールで保護されるファイルには、以下のアクセス権限があります。- Privileged Access Managerの内部プロセスへのフル アクセス
- その他のすべてのアクセサに関する読み取りアクセスと実行アクセス(関連する場合)
FILE ルールを記述して、内部ファイル ルールを置き換えることができます。これらの FILE ルールを削除すると、
Privileged Access Manager
によって内部ファイル ルールが復帰します。Privileged Access Manager
では、内部ファイル ルールで以下のファイルが保護されます。表の 2 番目の列には、ファイルの場所を示す構成設定が一覧表示されます(該当する場合)。注:
一部のファイルの場所は内部的に定義され、対応する構成設定がありません。これらのファイルの場所を設定することはできません。ファイル | seos.ini 内のセクションと設定 | デフォルトのファイルの場所 |
すべてのデータベース ファイル | [seosd] dbdir | ACInstallDir /seosdb |
seos.ini | - | ACInstallDir |
privpgms.ini | - | ACInstallDir /etc |
loginpgms.ini | - | ACInstallDir /etc |
xdmpgms.init | - | ACInstallDir /etc |
nfsdevs.init | [seosd] nfs_devices | ACInstallDir /etc |
osver | - | ACInstallDir /etc |
accommon.ini | - | ACSharedDir |
seos.audit | [logmgr] audit_log | ACInstallDir /log |
seos.audit.bak* | [logmgr] audit_back | ACInstallDir /log |
seos.error | [logmgr] error_log | ACInstallDir /log |
kbl.audit | [kblaudit] audit_log | ACInstallDir /log |
kbl.audit.bak | [kblaudit] audit_back | ACInstallDir /log |
kbl.error | [kblaudit] error_log | ACInstallDir /log |
すべてのファイル (protect_bin が ON の場合) | - | ACInstallDir /bin |
AC | [kblaudit] cmd_log | /etc ACInstallDir /lbin/cmdlog へのシンボリック リンク |
デフォルト ファイル ルール
Privileged Access Manager
では、機密ファイルを保護するために、インストール中にデフォルト ファイル ルールが作成されます。デフォルト ファイル ルールは、selang に表示され、削除できます。以下の表では、
Privileged Access Manager
によりデフォルト ファイル ルールで保護される機密ファイルと、そのアクセス権限および許可されているアクセサが一覧表示されています。この表では、
PMDBDir
は Policy Model データベース(PMDB)があるディレクトリであり、pmd_name
は各 Policy Model の名前です。デフォルトでは、PMDBDir
は ACInstallDir
/policies にあります。PMDBDir
の場所は、seos.ini ファイルの pmd セクションの _pmd_directory_ トークンに定義されています。 ファイル | デフォルト アクセス | 許可されているアクセサ |
ACInstallDir /data/crypto/crypto.dat | なし | sechkey |
ACInstallDir /data/crypto/def_root.pem* | なし | sechkey |
ACInstallDir /data/crypto/sub.key | なし | sechkey |
ACInstallDir /data/crypto/sub.pem | なし | sechkey |
ACInstallDir /log/policyfetcher.log | 読み取り | +policyfetcher |
/etc/passwd | すべて | すべて |
/etc/shadow | すべて | すべて |
PMDBDir/pmd_name /hsock | Read、Write、Execute、Cre、Chown、Chmod、Utime | seagent、sepmdd |
PMDBDir/pmd_name /pmd.ini | 読み取り | seagent、sepmdd |
PMDBDir/pmd_name /seos_* | Read、Write、Execute、Cre、Chown、Chmod、Utime | seagent、sepmdd |
PMDBDir/pmd_name /socket | Read、Write、Execute、Cre、Chown、Chmod、Utime | seagent、sepmdd |