ファイル アクセスの制限
スーパーユーザによるファイルへのアクセスを selang で制限するには、newres コマンドの長いバージョンを使用します。例: スーパーユーザおよび myuser 以外のユーザによる /tmp/binary.bkup ファイルへのアクセスを防ぐには、以下の selang コマンドを使用します。
capamsc141
スーパーユーザによるファイルへのアクセスを selang で制限するには、newres コマンドの長いバージョンを使用します。例: スーパーユーザおよび myuser 以外のユーザによる /tmp/binary.bkup ファイルへのアクセスを防ぐには、以下の selang コマンドを使用します。
newres FILE /tmp/binary.bkup owner(myuser) defaccess(N)
このコマンドは、以下のことを示します。
- /tmp/binary.bkup を保護ファイルとして定義します。
- ユーザ myuser をファイルの所有者に設定して、myuser にファイルへのアクセス権を与えます。
- ファイルのデフォルト アクセス権を NONE に設定して、他のユーザによるファイルへのアクセスを防止します。ファイルへのアクセスを他のユーザに許可するには、そのファイルのアクセス ルールを明示的に定義する必要があります。
root 権限で selang コマンドを起動し、別のユーザを所有者として明示的に指定せずに FILE レコードを定義すると、定義したレコードの所有者は root になります。所有者である root ユーザ(つまり、root ユーザとしてログインするすべてのユーザ)には、ファイルに対する完全で自由なアクセス権が与えられています。
seos.ini ファイルのトークン use_unix_file_owner を yes に設定できます。この設定によって、UNIX の一般ユーザは、所有しているファイルに対するアクセス ルールを定義できます。