PAM SC のファイル保護のしくみ
PAM SC のファイル保護のしくみについて説明します。
capamsc141
seosd デーモンが起動すると、データベースに定義されている各個別ファイル オブジェクトに対して UNIX の stat コマンドが実行されます。次にデーモンは、各ファイル オブジェクトのエントリを含むテーブルをメモリ内に作成します。さらに、このテーブルには個別ファイルごとにファイルの i-node およびデバイスが格納されます。
Privileged Access Manager
では、この情報を使用して、ファイルへのハード リンクを保護することもできます。これは、ハード リンクの保護がデバイスおよび i-node に基づいて行われるためです。データベースには、ファイルの i-node およびデバイスに関する情報は保存されません。Privileged Access Manager
でファイル ルールを作成する場合:- ファイルが UNIX 環境にある場合は、Privileged Access Managerによってまずファイルに対して stat コマンドが実行されます。次に、ファイルの i-node およびデバイスの情報と共にエントリがファイル テーブルに追加されます。
- ファイルが UNIX 環境にない場合は、Privileged Access Managerによってファイル名のエントリがファイル テーブルに追加されます(i-node およびデバイスの情報は含まれません)。この新規エントリは、包括的なファイル オブジェクトに対するエントリと同じです。同時に、カーネルの内部テーブルには、i-node およびデバイス情報の作成時にこのファイルをチェックする必要があるという指示が保存されます。ファイルが作成されると、カーネルはその作成をインターセプトします。カーネルは、ファイルの i-node およびデバイス情報を seosd に通知します。これにより、seosd デーモンは、ファイル テーブル内のファイルのエントリを更新できます。
ファイルを削除すると、
Privileged Access Manager
により、seosd ファイル テーブル内のエントリが削除されます。エントリは、再作成する場合に備えて Privileged Access Manager
データベースに保持されます。