ファイル アクセスの制限
スーパーユーザによるファイルへのアクセスを selang で制限するには、newres コマンドの長いバージョンを使用します。 たとえば、スーパーユーザ、および myuser 以外のユーザによる /tmp/binary.bkup ファイルへのアクセスを防止するには、以下のコマンドを使用します。
cminder12901jp
スーパーユーザによるファイルへのアクセスを selang で制限するには、newres コマンドの長いバージョンを使用します。 たとえば、スーパーユーザ、および myuser 以外のユーザによる /tmp/binary.bkup ファイルへのアクセスを防止するには、以下のコマンドを使用します。
newres FILE /tmp/binary.bkup owner(myuser) defaccess(N)
このコマンドは、以下のことを示します。
- /tmp/binary.bkup を保護ファイルとして定義します。
- ユーザ myuser をファイルの所有者に設定して、myuser にファイルへのアクセス権を与えます。
- ファイルのデフォルト アクセス権を NONE に設定して、他のユーザによるファイルへのアクセスを防止します。 ファイルへのアクセスを他のユーザに許可するには、そのファイルのアクセス ルールを明示的に定義する必要があります。
重要:
root 権限で selang コマンドを起動し、別のユーザを所有者として明示的に指定せずに FILE レコードを定義すると、定義したレコードの所有者は root になります。 所有者である root ユーザ(つまり、root ユーザとしてログインするすべてのユーザ)には、ファイルに対する完全で自由なアクセス権が与えられています。注:
seos.ini ファイルのトークン use_unix_file_owner を yes に設定できます。 この設定によって、UNIX の一般ユーザは、所有しているファイルに対するアクセス ルールを定義できます。