UNIX エンドポイント管理ガイド › ファイルおよびプログラムの保護 › ファイルおよびディレクトリへのアクセス制限 › ファイル保護の機能

ファイル保護の機能

seosd デーモンが起動すると、データベースに定義されている各個別ファイル オブジェクトに対して UNIX の stat コマンドが実行されます。 次に、各ファイル オブジェクトのエントリを含むテーブルがメモリ内に作成されます。 さらに、個別ファイルごとに i-node およびデバイスがテーブルに保存されます。CA Access Control では、この情報を使用して、ファイルへのハード リンクを保護することもできます。これは、ハード リンクの保護がデバイスおよび i-node に基づいて行われるためです。 データベースには、ファイルの i-node およびデバイスに関する情報は保存されません。

CA Access Control で新しいファイル ルールを作成するときは、以下の処理が行われます。

• ファイルが UNIX 環境にある場合は、最初に、ファイルに対して stat コマンドが実行され、次に、ファイルの i-node およびデバイスの情報と共に新規エントリがファイル テーブルに追加されます。
• ファイルが UNIX 環境に存在しない場合は、ファイル名の新規エントリがファイル テーブルに追加されます（i-node およびデバイスの情報は含まれません）。 この新規エントリは、包括的なファイル オブジェクトに対するエントリと同じです。 同時に、カーネルの内部テーブルには、i-node およびデバイス情報の作成時にこのファイルをチェックする必要があるという指示が保存されます。 その後にファイルが作成されると、カーネルによってファイルの作成がインターセプトされ、seosd がファイル テーブル内のファイルのエントリを更新できるように、ファイルの i-node およびデバイス情報が seosd に通知されます。

ファイルを削除すると、CA Access Control により、seosd ファイル テーブル内のエントリが削除されます。ただし、エントリは、再作成する場合に備えて、データベースに保持されます。