REGISTERED ファイルまたはディレクトリを保護するための規則

語句 REGISTERED を含む認可上限を持つユーザーであれば、社内のすべての場所にあるすべての登録された情報にアクセスできることを、セキュリティー管理者は認識しています。そこで、追加の対策が必要です。たとえば、認可上限に REGISTERED を持つユーザーに対し、UNIX のアクセス権を使用して自分のファイルを保護するよう指示します。ファイルの参照または変更を作成者のみができるようにアクセス権を設定します。次の例は、任意アクセス制御 (DAC) を適用して REGISTERED ディレクトリの内容を保護するユーザーの場合です。

例 6–2 DAC の使用による登録情報の保護

% plabel 
REGISTERED
% mkdir registered.dir
% chmod 700 registered.dir
% cd registered.dir
% touch registered.file
% ls -l
-rwxrwxrwx registered.file
% chmod 600 registered.file
% ls -l
-rw------- registered.file

この例に示すように、機密ラベル REGISTERED で作業してファイルまたはディレクトリを作成するユーザーは、所有者のみにファイルの読み取りと書き込みの権限を設定する必要があります。ディレクトリのアクセス権は、読み取り、書き込み、および検索を、所有者のみが行うことができるように設定します。これによって、REGISTERED で作業できるほかのユーザーでもそのファイルを読み取れなくなります。