UNIX エンドポイント管理ガイド › ファイルおよびプログラムの保護 › ファイルおよびディレクトリへのアクセス制限

ファイルおよびディレクトリへのアクセス制限

CA Access Control では、UNIX システムの権限チェック機能を保持しつつ、強化されたアクセス制御機能を追加します。

CA Access Control は、以下の各ファイル アクセス操作をインターセプトし、その特定の操作がユーザに許可されていることを確認してから、UNIX に制御を戻します。 かっこ内はアクセス タイプです。

• ファイルを作成する（create）
• 読み取りの目的でファイルを開く（read）

  注： ユーザがファイルに関する情報を取得する操作（ls -l など）を実行できるかどうかを制御するために read 権限を必要とする場合は、設定 STAT_intercept を 1 に設定します。 詳細については、「リファレンス ガイド」を参照してください。

• 書き込みの目的でファイルを開く（write）
• ファイルを実行する（execute）
• ファイルを削除する（delete）
• ファイル名を変更する（delete、rename）
• アクセス許可ビットを変更する（chmod）
• 所有者を変更する（chown）
• タイム スタンプを変更する - たとえばtouchコマンドの実行（utime）
• ACL をサポートしているシステムのネイティブ ACL を（acledit コマンドを使用して）編集する（sec）
• ディレクトリを変更する（chdir）

CA Access Control のアクセス チェックがネイティブ UNIX の認証と異なる点は以下のとおりです。

• CA Access Control の権限チェックは、ユーザの実効ユーザ ID（euid）ではなく、ログインに使用した元のユーザ ID に基づいて行われます。 たとえば、userA が su コマンドを実行して別のユーザの代理になった場合、userA がアクセスできるのは、userA がアクセスを許可されているファイルのみです。 suコマンドを実行して別のユーザになっても、UNIX の認証とは異なり、su コマンドを実行したユーザに、ターゲット ユーザのファイルにアクセスする権限が自動的に与えられることはありません。
• CA Access Control では、システム上のすべてのファイルにアクセスできる権限がスーパーユーザ（root）に自動的に与えられることはありません。 スーパーユーザは、システムの他のすべてのユーザと同様に、権限チェックの対象です。
• 権限チェックは、CA Access Control の標準アクセス リスト、条件付きアクセス リスト、日時制限、セキュリティ レベル、セキュリティ カテゴリ、およびセキュリティ ラベルに基づいて行われます。
• 管理者がユーザに対してファイルへのアクセスを明示的に許可しなかった場合、CA Access Control は、そのユーザがファイルへのアクセス権限を持つグループに属しているかどうかをチェックします。
• 個々のファイル アクセスは、CA Access Control の通常の監査手続きによって監査されます。
• ファイルを削除する場合、UNIX では親ディレクトリに対する WRITE アクセス権限がユーザに必要であるのに対して、CA Access Control では、指定したファイルに対する DELETE アクセス権がユーザに必要です。
• ファイルの名前変更を行う場合は、ソース ファイルに対する DELETE アクセス権限と、ターゲット ファイルに対する RENAME アクセス権限がユーザに必要です。 また、UNIX では、親ディレクトリに対する WRITE アクセス権限もユーザに必要になります。
• すべてのユーザには、デフォルト設定とは関係なく/etc/passwd ファイルおよび /etc/group ファイルに対する永久的な READ アクセス権（最低限）が与えられます。 この権限の付与によって、システムが中断される可能性を抑えられます。
• CA Access Control データベースの FILE オブジェクトの所有者には、このオブジェクトによって保護されているファイルへのフル アクセス権が常に与えられます。
• chdir アクセス タイプは chdir コマンドを明示的に制御し、UNIX の場合とは動作が異なります。

ファイル保護システムに関する制限事項は、以下のとおりです。

• _restricted グループのメンバでないユーザについては、以下のファイルとディレクトリのみが CA Access Control で保護されます。
  • データベースに個々の名前で定義されているファイルおよびディレクトリ
  • データベースに定義された名前パターン（/etc/* など）と一致するファイルおよびディレクトリ

  グループ _restricted に属するユーザについては、すべてのシステム ファイルが CA Access Control で保護されます。 データベースに定義されていないファイルに対する権限は、FILE クラスの _default レコードに基づきます。

• CA Access Control では、保護が必要なリソースを示すすべてのファイル名およびディレクトリ名（ワイルドカードを使用したパターンを含む）のテーブルが保持されます。 このテーブルを格納するために使用できるメモリの量には制限があります。 通常、データベース内に個々の名前で定義できるファイルおよびディレクトリの最大数は 4096 で、名前パターンの最大数は 512 です。
• 一部のファイルは、明示的なアクセス ルールがない場合でも保護対象となります。 このようなファイルには、CA Access Control データベース ファイル、監査ログ、および環境設定ファイルがあります。

  注： 詳細については、「リファレンス ガイド」の FILE クラスの説明を参照してください。

CA Access Control では、ファイルに対して以下のアクセス タイプを使用できます。

• ALL
• CHDIR
• CHMOD
• CHOWN
• CONTROL
• CREATE
• DELETE
• EXECUTE
• NONE
• READ
• RENAME
• SEC
• UPDATE
• UTIME
• WRITE

ファイル保護システムは、機密データが保存されている特定のファイルを保護する場合に便利です。 たとえば、CA Access Control を使用して保護できるファイルは、以下のとおりです。

• /etc/passwd
• /etc/group
• /etc/hosts
• /etc/shadow

データベースを保護（サーバ デーモンのみにアクセスを許可）し、さらにサイトにあるその他すべての機密ファイルを保護するには、CA Access Control を使用する必要があります。

常にアクセス制御が必要な一部のファイルは、たとえユーザが明示的にルールを指定しない場合でも、ルールによって制御されます。