ファイル アクセスの防止
所有者のない FILE レコードを定義すると便利な場合があります。所有者のない FILE レコードを selang で定義するには、特別な所有者である「nobody」を使用します。
cminderpim14jp
所有者のない FILE レコードを定義すると便利な場合があります。所有者のない FILE レコードを selang で定義するには、特別な所有者である「nobody」を使用します。
たとえば、/tmp/binary.bkup ファイルを保護ファイルとして定義し、すべてのユーザがこのファイルにアクセスできないようにするには、以下の selang コマンドを入力します。
newres FILE /tmp/binary.bkup owner(nobody) defaccess(N)
この newres コマンドを実行すると、たとえこのコマンドを定義したユーザ(root であるかどうかに関係なく)であっても、ファイルにアクセスすることはできません。すべてのユーザをファイルにアクセスできないようにした後、通常は、そのファイルへのアクセス権を 1 人以上のユーザに明示的に与える必要があります。
保護ファイルに対するユーザ アクセスを明示的に許可するには、authorize コマンドを使用します。たとえば、/tmp ディレクトリ内の Jo で始まるすべてのファイルに対する更新アクセス権限をユーザ「
userJo
」に与えるには、以下のコマンドを入力します。authorize FILE /tmp/Jo* uid(userJo) acc(Update)
注:
では、独自のデータベースに定義されているファイルのみが保護されます。