PAM SC selang コマンド シェルを使用したファイルの保護
selang を使用して保護ファイルを定義する方法について説明します。
capamsc141
selang で保護ファイルを定義するには、以下のコマンドを入力します。
newres FILE filename
たとえば、/tmp/binary.bkup ファイルを登録するには、以下のコマンドを入力します。
newres FILE /tmp/binary.bkup
アクセス タイプを指定せずにファイル ルールを定義すると、デフォルト アクセス権に NONE が割り当てられます。この場合、ファイルの所有者のみがファイルにアクセスできます。
大部分の保護ファイルは、スーパーユーザによるアクセスから保護する必要があります。これを行わないと、スーパーユーザのパスワードを知っているユーザに、保護ファイルへのアクセス権が自動的に与えられます。同時に、ファイル所有者以外のすべてのユーザによるファイルへのアクセスも防止できます。
同じような名前の複数のファイルを保護するには、ワイルドカードを含むファイル名パターンを使用します。ワイルドカードは
*
(0 個以上の文字を表す) と ?
(/
以外の任意の 1 文字を表す)を使用できます。指定したパターンは、ファイルの完全パス名と照合されます。その結果、パターン /tmp/x* は、/tmp/x1、/tmp/xxx、および /tmp/xdir/a という名前のファイルに一致します。
Privileged Access Manager
で指定できない
パターンは、/*
、/tmp/*
、および /etc/*
です。ファイル名パターンは非常に影響力の大きいツールであるため、練習でむやみにいろいろなパターンを試さないでください。
例: 以下のコマンドでは、/tmp ディレクトリ内の、a で始まり b で終わるファイル名を持つすべてのファイルを保護対象として定義しています。これには、/tmp/axyz/axyzb のようなファイルも含まれます。
newres FILE /tmp/a*b