CA ControlMinder では、任意のコンピュータを保護する場合と同じ方法で Solaris 10 ゾーンを保護します。 各ゾーンはそれぞれ、他のゾーンと分離して保護され、CA ControlMinder で定義する各ルールは該当するゾーンで作業しているユーザにのみ適用されます。 グローバル ゾーンに適用するルールは、非グローバル ゾーンで認識可能なリソースをカバーするルールであっても、グローバル ゾーンからそれらのリソースにアクセスするユーザにのみ適用されます。
注: 必要に応じて非グローバル ゾーンのリソースを、非グローバル ゾーンおよびグローバル ゾーンの両方で確実に保護してください。
例: グローバル ゾーンのルールおよび非グローバル ゾーンのルール
以下の例では、非グローバル ゾーン(myZone1)ファイルを保護するルールを定義します。 システム ファイルはすべて、グローバル ゾーンから常に認識可能です。
保護するファイルは、/myZone1/root/bin/kill(グローバル ゾーンからのパス)。 このファイルを保護するには、以下の CA ControlMinder ルールを定義します。
nu admin_pers owner(nobody) nr FILE /myZone1/root/bin/kill defaccess(none) owner(nobody) authorize FILE /myZone1/root/bin/kill uid(admin_pers) access(all)
nu admin_pers owner(nobody) nr FILE /bin/kill defaccess(none) owner(nobody) authorize FILE /bin/kill uid(admin_pers) access(all)
グローバル ゾーンと非グローバル ゾーンの両方でこれらのルールを使用することで、ユーザ(admin_pers)を定義し、保護すべきリソースとしてファイルを定義し、そのファイルにアクセスする権限をユーザに付与しました。 このような処理を両方のゾーンで行わなければ、リソースはリスクを伴います。
|
Copyright © 2013 CA.
All rights reserved.
|
|