UNIX_SOCKET クラス
UNIX_SOCKET クラス
capamsc141
UNIX_SOCKET クラスの各レコードは、特定の Unix 名前付きソケットに許可するアクセスを定義します。名前付きソケット ファイルがまだ作成されていない場合でも、ルールを定義できます。
UNIX_SOCKET クラスはデフォルトでは有効ではありません。
UNIX_SOCKET クラス レコードのキーは、レコードが直接保護するソケット パス名の名前です。完全パスを指定する必要があります。
Linux では、パス名ではなく抽象名前空間の Unix ドメイン ソケットもサポートされています。この場合、UNIX_SOCKET クラスのキーは、先頭に null 文字がない抽象名です。たとえば、抽象名「\0hidden」の unix ソケットのキーは、「hidden」です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「情報のみ」と記載されます。
- ACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessor保護下にあるリソースにアクセスしようとするユーザまたはグループを定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。ACL を変更するには、Authorize コマンドまたは Authorize- コマンドの Access パラメータを使用します。
- CALACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および CA Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
- Accessor保護下にあるリソースにアクセスしようとするユーザまたはグループを定義します。
- カレンダUnicenter TNG のカレンダへの参照を定義します。カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。カレンダが有効な場合のみアクセスが許可されます。その他の場合はすべてのアクセスが拒否されます。
- CALENDARPrivileged Access Managerのユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。Privileged Access Managerにより、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含めることができる追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限: 255 文字。
- CREATE_TIMEレコードが作成された日時を表示します。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで Restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する GFILE クラスまたは CONTAINER クラスのレコードのリストです。DB プロパティ: GROUPSFILE クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GFILE クラスのレコードの MEMBERS プロパティを変更します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの mem+ または mem- パラメータを使用します。
- NACLリソースの NACL プロパティは、アクセス制御リストです。このリストは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義します。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。
- Accessor保護下にあるリソースにアクセスしようとするユーザまたはグループを定義します。
- アクセスアクセサに対して拒否されるアクセス タイプを定義します。このプロパティを変更するには、Authorize Deniedaccess コマンドまたは Authorize- Deniedaccess- コマンドを使用します。
- NOTIFYリソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。CA Privileged Identity Manager は、指定されたユーザに監査レコードを電子メールで送信できます。制限: 30 文字。
- Ownerそのレコードを所有するユーザまたはグループを定義します。
- PACLアクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースにアクセスできるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- Accessor保護下にあるリソースにアクセスしようとするユーザまたはグループを定義します。
- プログラム指定またはワイルドカード プログラム一致によって、PROGRAM クラスのレコードへの参照を定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、Selang の Authorize コマンドで via(pgm) パラメータを使用します。アクセサを PACL から削除するには、Authorize- コマンドを使用します。
- RAUDITPrivileged Access Managerが監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は Resource AUDIT の短縮形です。有効な値は以下のとおりです。
- allすべてのアクセス要求。
- success許可されたアクセス要求。
- failure拒否されたアクセス要求。
- noneアクセス要求はありません。Privileged Access Managerは、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたかどうか、またはメンバとしてリソースを持つグループまたはクラスに適用されたかどうかについては記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
- SECLABELユーザまたはリソースのセキュリティ ラベルを定義します。SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
- SECLEVELアクセサまたはリソースのセキュリティ レベルを定義します。このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
- UUAC指定したリソースのデフォルトのアクセス権限を指定します。このアクセス権限は、Privileged Access Managerに定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで Defaccess パラメータを使用します。
- UNTRUSTリソースが信頼されているかどうかを定義します。UNTRUST プロパティが設定されている場合、アクセサはこのリソースを使用できません。UNTRUST プロパティが設定されていない場合、アクセサのアクセス権限の決定には、このリソースに対してデータベースにリストされている他のプロパティが使用されます。trusted リソースに何らかの変更が加えられると、Privileged Access Managerによって UNTRUST プロパティが自動的に設定されます。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで trust[-] パラメータを使用します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- 警告警告モードを有効にするかどうかを指定します。リソースで警告モードを有効にしている場合、リソースへのすべてのアクセス要求が許可されます。アクセス要求がアクセス ルールに違反する場合は、レコードが監査ログに書き込まれます。
例:
この例では、ユーザ アクセスを制限して、user1 のみが UNIX ソケット /run/docker.sock にアクセスでき、すべてのアクセス試行を監査できるようにします。AC> so class+(UNIX_SOCKET)AC> nr UNIX_SOCKET /run/docker.sock owner(nobody) defaccess(none) audit(all)AC> auth UNIX_SOCKET /run/docker.sock uid(user1) access(connect)