selang リファレンス ガイドクラスとプロパティAC 環境のクラス › SECFILE クラス

前のトピック: RULESET クラス

次のトピック: SECLABEL クラス

SECFILE クラス

SECFILE クラスの各レコードは、監視対象ファイルを定義します。 SECFILE クラスのレコードによって、システムの重要なファイルを検証できます。 ただし、このレコードは条件付きアクセス制御リストには表示できません。

頻繁に更新されない機密システム ファイルをこのクラスに追加し、権限のないユーザがこれらのファイルを変更していないことを確認します。 監視対象として SECFILE クラスに指定するファイルの例を以下に示します。

UNIX の場合

Windows の場合

/.rhosts

¥system32¥drivers¥etc¥hosts

/etc/services

¥system32¥drivers¥etc¥services

/etc/protocols

¥system32¥drivers¥etc¥protocols

/etc/hosts

 

/etc/hosts.equiv

 

Watchdog はこれらのファイルをスキャンし、これらのファイルに関する既知の情報が変更されていないことを確認します。

注: SECFILE クラスにディレクトリを定義することはできません。

SECFILE クラス レコードのキーは、SECFILE レコードが保護するファイルの名前です。 完全パスを指定します。

以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「情報のみ」と記載されます。

AIXACL

AIX システム ACL です。

AICEXTI

AIX システム拡張情報です。

COMMENT

レコードに含める追加情報を定義します。 この情報が権限付与に使用されることはありません。

制限: 255 文字。

CREATE_TIME

(情報のみ)レコードが作成された日時が表示されます。

GROUPS

リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。

クラス レコードのこのプロパティを変更するには、適切な CONTAINER クラスのレコードの MEMBERS プロパティを変更する必要があります。

このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem‑ パラメータを使用します。

HPUXACL

HP-UX システム ACL です。

MD5

(情報のみ)。 ファイルの RSA-MD5 シグネチャです。

OWNER

レコードを所有するユーザまたはグループを定義します。

PGMINFO

CA Access Control によって自動生成されるプログラム情報を定義します。

Watchdog 機能は、このプロパティに格納されている情報を自動的に検証します。 情報が変更されている場合、プログラムは CA Access Control により untrusted として定義されます。

以下のフラグを選択すると、この検証プロセスから関連情報を除外できます。

crc

CRC(Cyclic Redundant Check)および MD5 シグネチャ。

ctime

(UNIX のみ)ファイル ステータスが最後に変更された時間。

device

UNIX の場合は、ファイルが存在する論理ディスク。 Windows の場合は、ファイルが存在するディスクのドライブ番号。

group

プログラム ファイルを所有するグループ。

inode

UNIX の場合は、プログラム ファイルのファイル システム アドレス。 Windows の場合は、意味はありません。

mode

プログラム ファイルに関連付けられているセキュリティ保護モード。

mtime

プログラムが最後に変更された時間。

owner

プログラム ファイルを所有するユーザ。

sha1

SHA1 シグネチャ。 SHA は Secure Hash Algorithm の略で、プログラム ファイルや機密ファイルに適用できるデジタル署名方式です。

size

プログラム ファイルのサイズ。

このプロパティのフラグを変更するには、chres コマンド、editres コマンド、または newres コマンドの flags パラメータ、flags+ パラメータ、または flags- パラメータを使用します。

UNTRUST

リソースが信頼されているかどうかを定義します。 UNTRUST プロパティが設定されている場合、アクセサはこのリソースを使用できません。 UNTRUST プロパティが設定されていない場合、アクセサのアクセス権限の決定には、このリソースについてデータベースにリストされている他のプロパティが使用されます。 trusted リソースに何らかの変更が加えられると、CA Access Control によって UNTRUST プロパティが自動的に設定されます。

このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの trust[-] パラメータを使用します。

UNTRUSTREASON

(情報のみ)。 プログラムが untrusted になった理由です。

UPDATE_TIME

(情報のみ)レコードが最後に変更された日時を示します。

UPDATE_WHO

(情報のみ)更新を実行した管理者を示します。