trusted プログラムとは、プログラムが変更されていない場合のみ、実行できるプログラムです。 通常、これは setuid/setgid プログラムです。 CA ControlMinder では、通常のプログラムも trusted として指定できます。 プログラムが改ざんされていないことが確実な場合は、そのプログラムを PROGRAM クラスに登録します。このクラスは、CA ControlMinder によってその整合性が保護されます。
trusted プログラムは、 program pathing と併用できます。これにより、ユーザは trusted プログラムによって特定のタスクのみを実行できます。
注: プログラム パスの詳細については、「UNIX エンドポイント管理ガイド」を参照してください。
CA ControlMinder には、ユーザがすべての setuid プログラムと setgid プログラムを trusted として登録するためのスクリプトが用意されています。
以下のコマンドを発行します。
seuidpgm ‑q ‑l ‑f / > /opt/CA/AccessControl/seuid.txt
このようにして実行された seuidpgm プログラムは、以下の処理を行います。
注: seuidpgm の詳細については、「リファレンス ガイド」を参照してください。
selang [‑l] ‑f /opt/CA/AccessControl/seuid.txt
selang の実行が完了するまで数分かかる場合があります。
以下の selang コマンドを入力して、このデフォルトのアクセス値を設定します。
chres PROGRAM _default defaccess(none)
注: CA ControlMinder を長く使用しているユーザは、この接続に UACC クラスを使用することを思い付くかもしれません。 UACC クラスはこのバージョンでも存在するので、リソースのデフォルト アクセス権の指定に使用できます。 ただし、使いやすさを考慮した場合、クラスのデフォルト アクセス権を指定するには、そのクラスの _default レコードを使用することをお勧めします。 _default を使用した指定は、同じクラスの UACC を使用した指定より優先されます。
登録した setuid プログラム、setgid プログラム、および通常プログラムを表す PROGRAM クラスのレコードには、実行可能ファイルの以下の属性が格納されます。
登録する各プログラムの最も重要な属性は、そのプログラムが trusted であることです。 これは、そのプログラムが実行しても安全であることを意味します。 すでに記載された属性に変化があると、プログラムの trusted ステータスは失われます。その場合、CA ControlMinder は、そのプログラムが実行されないようにすることができます。
|
Copyright © 2013 CA.
All rights reserved.
|
|