FILE クラス
FILE クラスの各レコードは、特定のファイル、特定のディレクトリ、またはファイル名パターンが一致しているファイルに対するアクセス権を定義します。 ファイルがまだ作成されていない場合でも、ルールを定義できます。
cminder12901jp
FILE クラスの各レコードは、特定のファイル、特定のディレクトリ、またはファイル名パターンが一致しているファイルに対するアクセス権を定義します。 ファイルがまだ作成されていない場合でも、ルールを定義できます。
デバイス ファイルおよびシンボリック リンクも他のファイルと同様に保護できます。 ただし、リンクを保護しても、リンク先のファイルは自動的に保護されません
注:
NTFS ファイル システムの場合、FILE クラスのレコードはファイルのストリームへのアクセスも定義します。スクリプトをファイルとして定義する場合は、ファイルに対する
read
アクセス権および execute
アクセス権の両方を許可します。 バイナリを定義する場合は、execute
アクセス権のみで十分です。special _restricted
グループに属さないユーザの場合には、FILE クラスの _default
レコード(_default レコードが存在しない場合には UACC クラスの FILE のレコード)は、seos.ini、seosd.trace、seos.audit、seos.error ファイルなど、Privileged Identity Manager
の一部であるファイルのみを保護しますPrivileged Identity Manager
Privileged Identity Manager
によって自動的に保護されます。注:
Privileged Identity Manager
およびsetuid
プログラムを保護するために FILE クラスではなく PROGRAM クラスが使用されます。setgid
FILE クラス レコードのキーは、レコードが保護するファイルまたはディレクトリの名前です。 完全パスを指定する必要があります。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「
情報のみ
」と記載されます。- ACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。 アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。 ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
- CALACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。 カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- CalendarUnicenter TNG のカレンダへの参照を定義します。 カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。 カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
- CALENDARのユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。Privileged Identity Managerにより、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。Privileged Identity Manager
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。は、この情報を許可に使用しません。Privileged Identity Manager制限:255 文字
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chresコマンド、ch[x]usrコマンド、またはch[x]grpコマンドで restrictions パラメータを使用します。 日時の制約の単位は 1 分です。
- グループリソース レコードが属する GFILE クラスまたは CONTAINER クラスのレコードのリストです。DB プロパティ:GROUPSFILE クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GFILE クラスのレコードの MEMBERS プロパティを変更します。このプロパティを変更するには、chresコマンド、editresコマンド、またはnewresコマンドでmem+またはmem-パラメータを使用します。
- NACLリソースのNACLプロパティは、アクセス制御リストです。 このリストは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義します。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
- Accessorアクセサを定義します。
- Accessアクセサに対して拒否されるアクセス タイプを定義します。 このプロパティを変更するには、authorize deniedaccessコマンドまたはauthorize- deniedaccess-コマンドを使用します。
- NOTIFYリソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。では、指定したユーザ宛に監査レコードを電子メールで送信できますPrivileged Identity Manager。制限:30 文字。
- OWNERレコードを所有するユーザまたはグループを定義します。
- PACLアクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- Program指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。注:PACL のリソースの指定にはワイルドカード文字を使用できます。
pgm) パラメータを使用します。 アクセサを PACL から削除するには、authorize- コマンドを使用します。 - RAUDITが監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前はPrivileged Identity ManagerResourceAUDITの短縮形です。 有効な値は以下のとおりです。
- allすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。 監査モードを変更するには、Privileged Identity Managerchresコマンドおよびchfileコマンドの audit パラメータを使用します。 - SECLABELユーザまたはリソースのセキュリティ ラベルを定義します。注:SECLABEL プロパティは、
コマンドとchres
コマンドの label[-] パラメータに相当します。ch[x]usr - SECLEVELアクセサまたはリソースのセキュリティ レベルを定義します。 このプロパティは、ch[x]usrコマンドとchresコマンドの level[-] パラメータに相当します。
- UACCリソースに対するデフォルトのアクセス権限を定義します。 これは、に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。Privileged Identity Managerこのプロパティを変更するには、chresコマンド、editresコマンド、またはnewresコマンドでdefaccessパラメータを使用します。
- UNTRUSTリソースが信頼されているかどうかを定義します。 UNTRUST プロパティが設定されている場合、アクセサはこのリソースを使用できません。 UNTRUST プロパティが設定されていない場合、アクセサのアクセス権限の決定には、このリソースに対してデータベースにリストされている他のプロパティが使用されます。 trusted リソースに何らかの変更が加えられると、によって UNTRUST プロパティが自動的に設定されます。Privileged Identity Managerこのプロパティを変更するには、chresコマンド、editresコマンド、またはnewresコマンドで trust[-] パラメータを使用します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- WARNING警告モードを有効にするかどうかを指定します。 リソースで警告モードが有効になっている場合、リソースへのすべてのアクセス要求が許可されます。 アクセス要求がアクセス ルールに違反する場合は、レコードが監査ログに書き込まれます。
例:
この例では、Unix/Linux エンドポイントで FILE クラスを使用して、ファイルへのユーザ アクセスを制限する方法を示します。 手順 1:
ファイル「/home/my_home/hello.c」を作成します。AC> nf /home/my_home/hello.c
手順 2:
ファイルが作成されると、すべてのファイルがデフォルトで read アクセス権を持っています。 ファイル「/home/my_home/hello.c」に対するデフォルトのユーザ アクセスを制限するポリシーを作成しました。 このポリシーでは、スーパーユーザ(root など)であっても、ファイルへのアクセスが制限されます。AC> er FILE("/home/my_home/hello.c") audit(all) owner(nobody) defaccess(none)
手順 3
: ファイル「/home/my_home/hello.c」の詳細を表示します。AC> sr FILE /home/my_home/hello.c(localhost)Data for FILE '/home/my_home/hello.c'-----------------------------------------------------------Defaccess : NoneAudit mode : AllOwner : nobody (USER )Create time : 13-Feb-2017 14:58Update time : 13-Feb-2017 15:04Updated by : root (USER )
手順 4:
ユーザはホストにログインして、ファイル「/home/my_home/hello.c」にアクセスしようとします。 ポリシーは、ユーザがファイルにアクセスするのを制限します。Host_Machine_Name> ls -l /home/my_home/hello.c/bin/ls: cannot access /home/my_home/hello.c: Permission denied
手順 5
: スーパーユーザがこのファイルにアクセスすることを許可するポリシーを作成します。AC> AUTHORIZE FILE("/home/my_home/hello.c") uid(root) access(a)
手順 6
: ファイル「/home/my_home/hello.c」の詳細を表示します。AC> sr file /home/my_home/hello.c(localhost)Data for FILE '/home/my_home/hello.c'-----------------------------------------------------------Defaccess : NoneACLs :Accessor Accessroot (USER ) R, W, X, Cre, Del, Chown, Chmod, Utime, Sec, Rename, ChdirAudit mode : AllOwner : nobody (USER )Create time : 13-Feb-2017 14:58Update time : 16-Feb-2017 17:54Updated by : root (USER )