所有者のない FILE レコードを定義すると便利な場合があります。 所有者のない FILE レコードを selang で定義するには、特別な所有者である「nobody」を使用します。
たとえば、/tmp/binary.bkup ファイルを保護ファイルとして定義し、すべてのユーザがこのファイルにアクセスできないようにするには、以下の selang コマンドを入力します。
newres FILE /tmp/binary.bkup owner(nobody) defaccess(N)
この newres コマンドを実行すると、たとえこのコマンドを定義したユーザ(root であるかどうかに関係なく)であっても、ファイルにアクセスすることはできません。 すべてのユーザをファイルにアクセスできないようにした後、通常は、そのファイルへのアクセス権を 1 人以上のユーザに明示的に与える必要があります。
保護ファイルに対するユーザ アクセスを明示的に許可するには、authorize コマンドを使用します。 たとえば、/tmp ディレクトリ内の Jo で始まるすべてのファイルに対する更新アクセス権限をユーザ「userJo」に与えるには、以下のコマンドを入力します。
authorize FILE /tmp/Jo* uid(userJo) acc(Update)
注: CA ControlMinder では、独自のデータベースに定義されているファイルのみが保護されます。
|
Copyright © 2013 CA.
All rights reserved.
|
|