SECFILE クラス

SECFILE クラスの各レコードは、監視対象ファイルを定義します。SECFILE クラスのレコードによって、システムの重要なファイルを検証できます。ただし、このレコードは条件付きアクセス制御リストには表示できません。
capamsc141
SECFILE クラスの各レコードは、監視対象ファイルを定義します。SECFILE クラスのレコードによって、システムの重要なファイルを検証できます。ただし、このレコードは条件付きアクセス制御リストには表示できません。
頻繁に更新されない機密システム ファイルをこのクラスに追加し、権限のないユーザがこれらのファイルを変更していないことを確認します。監視対象として SECFILE クラスに指定するファイルの例を以下に示します。
UNIX の場合
Windows の場合
/.rhosts
\system32\drivers\etc\hosts
/etc/services
\system32\drivers\etc\services
/etc/protocols
\system32\drivers\etc\protocols
/etc/hosts
 
/etc/hosts.equiv
 
Watchdog はこれらのファイルをスキャンし、これらのファイルに関する既知の情報が変更されていないことを確認します。
SECFILE クラスにディレクトリを定義することはできません。
SECFILE クラス レコードのキーは、SECFILE レコードが保護するファイルの名前です。完全パスを指定します。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。
  • AIXACL
    AIX システム ACL です。
  • AICEXTI
    AIX システム拡張情報です。
  • COMMENT
    レコードに含める追加情報を定義します。
    Privileged Access Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • GROUPS
    リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。
    クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。
    このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
  • HPUXACL
    HP-UX システム ACL です。
  • MD5
    (情報のみ)。ファイルの RSA-MD5 シグネチャです。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • PGMINFO
    Privileged Access Manager
    によって自動生成されるプログラム情報を定義します。
    Watchdog 機能は、このプロパティに格納されている情報を自動的に検証します。情報が変更されている場合、プログラムは
    Privileged Access Manager
    により untrusted として定義されます。
    以下のフラグを選択すると、この検証プロセスから関連情報を
    除外
    できます。
    • crc
      CRC(Cyclic Redundant Check)および MD5 シグネチャ。
    • ctime
      (UNIX のみ)ファイル ステータスが最後に変更された時間。
    • device
      UNIX の場合は、ファイルが存在する論理ディスク。Windows の場合は、ファイルが存在するディスクのドライブ番号。
    • グループ
      プログラム ファイルを所有するグループ。
    • inode
      UNIX の場合は、プログラム ファイルのファイル システム アドレス。Windows の場合は、意味はありません。
    • mode
      プログラム ファイルに関連付けられているセキュリティ保護モード。
    • mtime
      プログラム ファイルが最後に変更された時間。
    • owner
      プログラム ファイルを所有するユーザ。
    • sha1
      SHA1 シグネチャ。SHA は Secure Hash Algorithm の略で、プログラム ファイルや機密ファイルに適用できるデジタル署名方式です。
    • size
      プログラム ファイルのサイズ。
    このプロパティのフラグを変更するには、chres コマンド、editres コマンド、または newres コマンドの flags パラメータ、flags+ パラメータ、または flags- パラメータを使用します。
  • UNTRUST
    リソースが信頼されているかどうかを定義します。UNTRUST プロパティが設定されている場合、アクセサはこのリソースを使用できません。UNTRUST プロパティが設定されていない場合、アクセサのアクセス権限の決定には、このリソースについてデータベースにリストされている他のプロパティが使用されます。trusted リソースに何らかの変更が加えられると、
    Privileged Access Manager
    によって UNTRUST プロパティが自動的に設定されます。
    このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで trust[-] パラメータを使用します。
    注:
    SECFILE リソースが信頼されておらず、アクセス権限が SECFILE リソースに設定されていない場合、リソース ファイルを使用してアクセス権限が決定されます。
  • UNTRUSTREASON
    (情報のみ)。プログラムが untrusted になった理由です。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。