ファイルの保護

selang で保護ファイルを定義するには、以下のコマンドを入力します。

newres FILE filename

たとえば、/tmp/binary.bkup ファイルを登録するには、以下のコマンドを入力します。

newres FILE /tmp/binary.bkup

注：アクセスタイプを指定せずにファイルルールを定義すると、デフォルトアクセス権に NONE が割り当てられます。この場合、ファイルの所有者のみがファイルにアクセスできます。

大部分の保護ファイルは、スーパーユーザによるアクセスから保護する必要があります。これを行わないと、スーパーユーザのパスワードを知っているユーザに、保護ファイルへのアクセス権が自動的に与えられます。同時に、ファイル所有者以外のすべてのユーザによるファイルへのアクセスも防止できます。

同じような名前の複数のファイルを保護するには、ワイルドカードを含むファイル名パターンを使用します。ワイルドカードは、* （0 個以上の文字）および? （/ を除く、任意の 1 文字）です。

指定したパターンは、ファイルの完全パス名と照合されます。その結果、パターン /tmp/x* は、/tmp/x1、/tmp/xxx、および /tmp/xdir/a という名前のファイルに一致します。

CA Access Control で指定できないパターンは、/*、/tmp/*、および /etc/* です。

重要： ファイル名パターンは非常に影響力の大きいツールであるため、練習でむやみにいろいろなパターンを試さないでください。

たとえば、以下のコマンドでは、/tmp ディレクトリ内の、a で始まり b で終わるファイル名を持つすべてのファイル（/tmp/axyz/axyzb のようなファイルも含まれる）を保護対象として定義しています。

newres FILE /tmp/a*b