ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
特殊なファイルアクセス権 (setuid、setgid、スティッキービット)
実行可能ファイルを原因とするセキュリティーへの悪影響を防止する
セキュリティーリスクのあるプログラムからの保護 (タスクマップ)
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
従来の UNIX ファイル保護機能は、ファイルの所有者、ファイルグループ、その他のユーザーという 3 つのユーザークラスに 読み取り権、書き込み権、実行権を提供します。UFS ファイルシステムでは、アクセス制御リスト (ACL) により次のことが可能となり、ファイルセキュリティーを管理するレベルがさらに詳細になります。
ファイル所有者、グループ、その他のユーザー、特定のユーザーおよびグループにファイルアクセス権を定義します
これらの各カテゴリにデフォルトのアクセス権を定義します
注 - ZFS ファイルシステムの ACL および NFSv4 ファイルの ACL については、『Oracle Solaris の管理: ZFS ファイルシステム』の第 8 章「ACL および属性を使用した Oracle Solaris ZFS ファイルの保護」を参照してください。
たとえば、グループ内のすべてのユーザーがファイルを読み取れるようにする場合は、そのファイルにグループの読み取り権を設定すればすみます。その場合に、そのグループ内の 1 人のユーザーだけに書き込み権を与えたいとします。標準の UNIX ではファイルセキュリティーをこのように設定することはできませんが、ACL では可能です。
UFS ファイルシステムでは、ACL エントリは setfacl コマンドを使ってファイルに設定されます。UFS ACL エントリは、次のようにコロンで区切ったフィールドで構成されます。
entry-type:[uid|gid]:perms
ファイルのアクセス権を設定する ACL エントリの種類です。たとえば、entry-type は user (ファイルの所有者) または mask (ACL マスク) に設定できます。
ユーザー名またはユーザー ID (UID) です。
グループ名またはグループ ID (GID) です。
entry-type に設定するアクセス権を表します。perms は、記号文字 rwx または 8 進数の数字で指定できます。これらは chmod コマンドに使用するのと同じ数字です。
次に、ユーザー stacey の読み取り権と書き込み権を設定する ACL エントリの例を示します。
user:stacey:rw-
注意 - ACL などの UFS ファイルシステム属性は UFS ファイルシステムだけでサポートされます。そのため、/tmp ディレクトリ (通常は、TMPFS ファイルシステムとしてマウントされている) で ACL エントリを持つファイルを復元またはコピーすると、その ACL エントリは失われます。UFS ファイルを一時的に格納するには、/var/tmp ディレクトリを使用してください。 |
UFS ファイルシステムの ACL の詳細は、Oracle Solaris 10 リリースの『Solaris のシステム管理 (セキュリティーサービス)』を参照してください。