FILE クラス

FILE クラスの各レコードは、特定のファイル、特定のディレクトリ、またはファイル名パターンが一致しているファイルに対するアクセス権を定義します。ファイルがまだ作成されていない場合でも、ルールを定義できます。
capamsc141
FILE クラスの各レコードは、特定のファイル、特定のディレクトリ、またはファイル名パターンが一致しているファイルに対するアクセス権を定義します。ファイルがまだ作成されていない場合でも、ルールを定義できます。
デバイス ファイルおよびシンボリック リンクも他のファイルと同様に保護できます。ただし、リンクを保護しても、リンク先のファイルは自動的に保護されません
NTFS ファイル システムの場合、FILE クラスのレコードはファイルのストリームへのアクセスも定義します。
スクリプトをファイルとして定義する場合は、ファイルに対する
read
アクセス権および
execute
アクセス権の両方を許可します。バイナリを定義する場合は、
execute
アクセス権のみで十分です。
special _restricted
グループに属さないユーザの場合には、FILE クラスの
_default
レコード(_default レコードが存在しない場合には UACC クラスの FILE のレコード)は、seos.ini、seosd.trace、seos.audit、seos.error ファイルなど、
Privileged Access Manager
の一部であるファイルのみを保護します
。これらのファイルは
Privileged Access Manager
に明示的に定義されてはいませんが、
Privileged Access Manager
によって自動的に保護されます。
Privileged Access Manager
では、
setuid
および
setgid
プログラムを保護するために FILE クラスではなく PROGRAM クラスが使用されます。
FILE クラス レコードのキーは、レコードが保護するファイルまたはディレクトリの名前です。完全パスを指定する必要があります。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「
情報のみ
」と記載されます。
  • ACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • CALACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • カレンダ
      Unicenter TNG のカレンダへの参照を定義します。カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。カレンダが有効な場合のみアクセスが許可されます。その他の場合はすべてのアクセスが拒否されます。
  • CALENDAR
    Privileged Access Manager
    のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。
    Privileged Access Manager
    により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
  • CATEGORY
    ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
  • COMMENT
    レコードに含める追加情報を定義します。
    Privileged Access Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、
    chres
    コマンド、
    ch[x]usr
    コマンド、または
    ch[x]grp
    コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
  • グループ
    リソース レコードが属する GFILE クラスまたは CONTAINER クラスのレコードのリストです。
    DB プロパティ:
    GROUPS
    FILE クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GFILE クラスのレコードの MEMBERS プロパティを変更します。
    このプロパティを変更するには、
    chres
    コマンド、
    editres
    コマンド、または
    newres
    コマンドの
    mem+
    または
    mem-
    パラメータを使用します。
  • NACL
    リソースの
    NACL
    プロパティは、アクセス制御リストです。このリストは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義します。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • アクセス
      アクセサに対して拒否されるアクセス タイプを定義します。このプロパティを変更するには、authorize
      deniedaccess
      コマンドまたは authorize-
      deniedaccess-
      コマンドを使用します。
  • NOTIFY
    リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
    Privileged Access Manager
    では、指定したユーザに監査レコードを電子メールで送信できます。
    制限:
    30 文字。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • PACL
    アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • プログラム
      指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
      PACL のリソースの指定にはワイルドカード文字を使用できます。
    プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、Selang の authorize コマンドで via(
    pgm
    ) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。
  • RAUDIT
    Privileged Access Manager
     が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は
    R
    esource
    AUDIT
    の短縮形です。有効な値は以下のとおりです。
    • すべて
      すべてのアクセス要求
    • success
      許可されたアクセス要求
    • failure
      拒否されたアクセス要求(デフォルト)
    • なし
      アクセス要求を記録しない
    Privileged Access Manager
    では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。監査モードを変更するには、
    chres
    コマンドおよび
    chfile
    コマンドの audit パラメータを使用します。
  • SECLABEL
    ユーザまたはリソースのセキュリティ ラベルを定義します。
    SECLABEL プロパティは、
    chres
    および
    ch[x]usr
    コマンドの label[-] パラメータに相当します。
  • SECLEVEL
    アクセサまたはリソースのセキュリティ レベルを定義します。このプロパティは、
    ch[x]usr
    コマンドと
    chres
    コマンドの level[-] パラメータに相当します。
  • UACC
    リソースに対するデフォルトのアクセス権限を定義します。 これは、
    Privileged Access Manager
    に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
    このプロパティを変更するには、
    chres
    コマンド、
    editres
    コマンド、または
    newres
    コマンドで
    defaccess
    パラメータを使用します。
  • UNTRUST
    リソースが信頼されているかどうかを定義します。UNTRUST プロパティが設定されている場合、アクセサはこのリソースを使用できません。UNTRUST プロパティが設定されていない場合、アクセサのアクセス権限の決定には、このリソースに対してデータベースにリストされている他のプロパティが使用されます。trusted リソースに何らかの変更が加えられると、
    Privileged Access Manager
    によって UNTRUST プロパティが自動的に設定されます。
    このプロパティを変更するには、
    chres
    コマンド、
    editres
    コマンド、または
    newres
    コマンドで trust[-] パラメータを使用します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。
  • WARNING
    警告モードを有効にするかどうかを指定します。リソースで警告モードが有効になっている場合、リソースへのすべてのアクセス要求が許可されます。アクセス要求がアクセス ルールに違反する場合は、レコードが監査ログに書き込まれます。
例:
この例では、Unix/Linux エンドポイントで FILE クラスを使用して、ファイルへのユーザ アクセスを制限する方法を示します。 
手順 1:
ファイル「/home/my_home/hello.c」を作成します。
PAMSC> nf /home/my_home/hello.c
手順 2:
ファイルが作成されると、すべてのファイルがデフォルトで read アクセス権を持っています。ファイル「/home/my_home/hello.c」に対するデフォルトのユーザ アクセスを制限するポリシーを作成しました。このポリシーでは、スーパーユーザ(root など)であっても、ファイルへのアクセスが制限されます。
PAMSC> er FILE("/home/my_home/hello.c") audit(all) owner(nobody) defaccess(none) 
手順 3
: ファイル「/home/my_home/hello.c」の詳細を表示します。
PAMSC> sr FILE /home/my_home/hello.c
(localhost)
Data for FILE '/home/my_home/hello.c'
-----------------------------------------------------------
Defaccess : None
Audit mode : All
Owner : nobody (USER )
Create time : 13-Feb-2017 14:58
Update time : 13-Feb-2017 15:04
Updated by : root (USER )
手順 4:
ユーザはホストにログインして、ファイル「/home/my_home/hello.c」にアクセスしようとします。ポリシーは、ユーザがファイルにアクセスするのを制限します。
Host_Machine_Name> ls -l /home/my_home/hello.c
/bin/ls: cannot access /home/my_home/hello.c: Permission denied
手順 5
: スーパーユーザがこのファイルにアクセスすることを許可するポリシーを作成します。
PAMSC> AUTHORIZE FILE("/home/my_home/hello.c") uid(root) access(a) 
 
手順 6
: ファイル「/home/my_home/hello.c」の詳細を表示します。
PAMSC> sr file /home/my_home/hello.c
(localhost)
Data for FILE '/home/my_home/hello.c'
-----------------------------------------------------------
Defaccess : None
ACLs :
Accessor Access
root (USER ) R, W, X, Cre, Del, Chown, Chmod, Utime, Sec, Rename, Chdir
Audit mode : All
Owner : nobody (USER )
Create time : 13-Feb-2017 14:58
Update time : 16-Feb-2017 17:54
Updated by : root (USER )