表13-40に、Oracle ACFSセキュリティ用コマンドの概要を示します。
すべてのプラットフォームでacfsutil
help
を実行して、ヘルプ・テキストを表示できます。すべてのプラットフォームでacfsutil
version
を実行して、Oracle ACFSのバージョンを表示できます。
Windowsプラットフォームでコマンドにオプションを付けて入力するときには、オプションとともに-
のかわりに/
を使用します。たとえば、acfsutil
-h
を使用してLinuxプラットフォームでacfsutil
のヘルプを表示できます。Windowsプラットフォームでは、acfsutil
/h
を使用します。
Windowsオペレーティング・システムでのマウント・ポイントはドライブ文字またはドライブ文字を含むディレクトリのいずれでもよいことに注意してください。
表13-40 Oracle ACFSセキュリティ用のコマンドの概要
コマンド | 説明 |
---|---|
|
セキュリティ管理者を追加します。 |
|
セキュリティ管理者のパスワードを変更します。 |
|
セキュリティ管理者を削除します。 |
|
バッチ・ファイルを実行します。 |
|
Oracle ACFSセキュリティを無効にします。 |
|
Oracle ACFSセキュリティを有効にします。 |
|
Oracle ACFSファイルシステム・セキュリティ情報を表示します。 |
|
指定したファイルまたはディレクトリが属するセキュリティ・レルムをリストします。 |
|
Oracle ACFSファイルシステム・セキュリティを初期化します。 |
|
Oracle ACFSファイルシステム・セキュリティ・メタデータをロードします。 |
|
セキュリティ用にOracle ACFSファイルシステムを準備します。 |
|
Oracle ACFSファイルシステム・レルムにオブジェクトを追加します。 |
|
Oracle ACFSファイルシステム・レルムをクローン化します。 |
|
Oracle ACFSファイルシステム・レルムを作成します。 |
|
Oracle ACFSファイルシステム・レルムからオブジェクトを削除します。 |
|
Oracle ACFSファイルシステム・レルムを削除します。 |
|
Oracle ACFSファイルシステム・セキュリティ・ルールをクローン化します。 |
|
Oracle ACFSファイルシステム・セキュリティ・ルールを作成します。 |
|
Oracle ACFSファイルシステム・セキュリティ・ルールを削除します。 |
|
Oracle ACFSファイルシステム・セキュリティ・ルールを更新します。 |
|
Oracle ACFSファイルシステム・セキュリティ・ルール・セットをクローン化します。 |
|
Oracle ACFSファイルシステム・セキュリティ・ルール・セットを作成します。 |
|
Oracle ACFSファイルシステム・ルール・セットを削除します。 |
|
Oracle ACFSファイルシステム・ルール・セットを更新します。 |
|
Oracle ACFSファイルシステム・セキュリティ・メタデータを保存します。 |
用途
Oracle ACFSファイルシステムの新しいセキュリティ管理者を追加します。
構文および説明
acfsutil
sec
admin
add
-h
acfsutil
sec
admin
add
admin
acfsutil
sec
admin
add
-h
は、ヘルプ・テキストを表示して終了します。
表13-41に、acfsutil
sec
admin
add
コマンドで使用可能なオプションを示します。
表13-41 acfsutil sec admin addコマンドのオプション
オプション | 説明 |
---|---|
|
セキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム・ユーザーであり、 Windowsでは、セキュリティ管理者ユーザー名は |
セキュリティ管理者はクラスタ内のすべてのOracle ACFSファイルシステムで共通です。一時パスワードを新しいセキュリティ管理者に与える必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。
新しいセキュリティ管理者はacfsutil
sec
admin
password
コマンドを使用してパスワードを変更できます。詳細は、「acfsutil sec admin password」を参照してください。
セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。これにより、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。
既存のセキュリティ管理者のみがこのコマンドを使用できます。
例
次に、acfsutil
sec
admin
add
コマンドの使用例を示します。
用途
Oracle ACFSファイルシステムのセキュリティ管理者のパスワードを変更します。
構文および説明
acfsutil
sec
admin
password
-h
acfsutil
sec
admin
password
acfsutil
sec
admin
password
-h
は、ヘルプ・テキストを表示して終了します。
acfsutil
sec
admin
password
コマンドは、コマンドを実行している管理者のセキュリティ・パスワードを変更します。このコマンドを実行するときに、新しいパスワードの入力を求められます。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。
セキュリティ管理者はacfsutil
sec
コマンドを実行するたびに、セキュリティ管理者のパスワードを求められます。
注意: セキュリティ管理者のパスワードを求められる場合、次のテキストが表示されます。Realm management password
要求されるパスワードはOracle ACFSセキュリティ管理者のパスワードであり、ユーザーのオペレーティング・システム・パスワードではありません。 |
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
admin
password
コマンドの使用例を示します。
用途
Oracle ACFSファイルシステムのセキュリティ管理者を削除します。
構文および説明
acfsutil
sec
admin
remove
-h
acfsutil
sec
admin
remove
admin
acfsutil
sec
admin
remove
-h
は、ヘルプ・テキストを表示して終了します。
表13-42に、acfsutil
sec
admin
remove
コマンドで使用可能なオプションを示します。
表13-42 acfsutil sec admin removeコマンドのオプション
オプション | 説明 |
---|---|
|
既存のセキュリティ管理者のユーザー名を指定します。 Windowsでは、セキュリティ管理者ユーザー名は |
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
admin
remove
コマンドの使用例を示します。
用途
指定したバッチ・ファイルを実行します。
構文および説明
acfsutil
sec
batch
-h
acfsutil
sec
batch
batch_file
acfsutil
sec
batch
-h
は、ヘルプ・テキストを表示して終了します。
表13-43に、acfsutil
sec
batch
コマンドで使用可能なオプションを示します。
表13-43 acfsutil sec batchコマンドのオプション
オプション | 説明 |
---|---|
|
既存のバッチ・ファイル名を指定します。バッチファイルには |
バッチ・ファイルにはセキュリティ・レルム管理コマンドのみを含めることができます。対話型コマンドはお薦めしません。acfsutil
sec
admin
add
、acfsutil
sec
admin
password
、およびacfsutil
sec
init
コマンドはバッチ・ファイルでサポートされません。また、acfsutil
encr
コマンドなどのその他のacfsutil
も、バッチ・ファイルに含めることはできません。バッチ・ファイルでコマンドが失敗すると、バッチ・ファイル内のその後のコマンドは実行されません。
次にバッチ・ファイルに含めることのできるコマンドの例を示します。
acfsutil sec realm create my_realm1 -m /mnt1 -e off acfsutil sec realm create my_realm2 -m /mnt2 -e off
セキュリティ管理者のみがこのコマンドを実行できます。コマンドを実行するときに、管理者は一度パスワードを求められます。
例
次に、acfsutil
sec
batch
コマンドの使用例を示します。
用途
マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを無効にします。
構文および説明
acfsutil
sec
disable
-h
acfsutil
sec
disable
-m
mount_point
[-S
snap_name
] [realm
]acfsutil
sec
disable
-h
は、ヘルプ・テキストを表示して終了します。
表13-44に、acfsutil
sec
disable
コマンドで使用可能なオプションを示します。
表13-44 acfsutil sec disableコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
Oracle ACFSファイルシステムのセキュリティ・レルムの名前を指定します。 |
|
指定した読取り-書込みスナップショットに対するセキュリティ機能を無効にします。 |
acfsutil
sec
disable
-m
mount_point
コマンドは、マウント・ポイントで指定したOracle ACFSファイルシステムでセキュリティ機能を無効にします。ファイルシステムでセキュリティが無効になると、セキュリティ・レルムはレルム認証を行いません。
acfsutil
sec
disable
-m
mount_point
realm
コマンドは、特定のレルムのセキュリティ機能を無効にします。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
disable
コマンドの使用例を示します。
用途
マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを有効にします。
構文および説明
acfsutil
sec
enable
-h
acfsutil
sec
enable
-m
mount_point
[-S
snap_name
] [realm
]acfsutil
sec
enable
-h
は、ヘルプ・テキストを表示して終了します。
表13-45に、acfsutil
sec
enable
コマンドで使用可能なオプションを示します。
表13-45 acfsutil sec enableコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
セキュリティ・レルムの名前を指定します。 |
|
指定した読取り-書込みスナップショットに対するセキュリティ機能を有効にします。 |
acfsutil
sec
enable
-m
mount_point
コマンドは、マウント・ポイントで指定したOracle ACFSファイルシステムでセキュリティ機能を有効にします。ファイルシステムでセキュリティが有効になると、有効になったセキュリティ・レルムはレルム認証を行います。個別のセキュリティ・レルムを有効にする前に、このコマンドを実行する必要があります。
acfsutil
sec
enable
-m
mount_point
realm
コマンドは、特定のレルムのセキュリティ機能を有効にします。ファイルシステムでセキュリティが有効になると、レルムは認証を行います。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
enable
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティに関する情報を表示します。
構文および説明
acfsutil
sec
info
-h
acfsutil
sec
info
-m
mount_point
[{-n
[realm
] | -l
[rule
] |-s
[ruleset
] |-c
}] [-S
snap_name
]acfsutil
sec
info
-h
は、ヘルプ・テキストを表示して終了します。
表13-46に、acfsutil
sec
info
コマンドで使用可能なオプションを示します。
表13-46 acfsutil sec infoコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
指定したセキュリティ・レルムに関する情報を表示します。レルム名を省略すると、すべてのレルムのリストが表示されます。 |
|
指定したルールに関する情報を表示します。ルール名を省略すると、すべてのルールのリストが表示されます。 |
|
指定したルール・セットに関する情報を表示します。ルール・セット名を省略すると、すべてのルール・セットのリストが表示されます。 |
|
すべてのコマンド・ルールをリストします。 |
|
指定したスナップショット内のレルム、ルールおよびルール・セットについての情報を表示します。 |
acfsutil
sec
info
コマンドは、指定したマウント・ポイントのレルム、ルールおよびルール・セットのリストに関する情報を取得します。特定のレルム、ルールまたはルール・セットを指定することで、指定したレルム、ルールまたはルール・セットに特有の情報を取得できます。指定したスナップショットについての情報も表示できます。
-m
オプションを指定して他のオプションを指定しない場合、指定したマウント・ポイントのセキュリティの有効状態および準備状態が表示されます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
info
コマンドの使用例を示します。
用途
指定したファイルまたはディレクトリが属するOracle ACFSセキュリティ・レルムの名前をリストします。
構文および説明
acfsutil
sec
info
file
-h
acfsutil
sec
info
file
-m
mount_point
path
acfsutil
sec
info
file
-h
は、ヘルプ・テキストを表示して終了します。
表13-47に、acfsutil
sec
info
file
コマンドで使用可能なオプションを示します。
表13-47 acfsutil sec info fileコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
ファイルシステム内のファイルまたはディレクトリのパスを指定します。 |
このコマンドではファイルの暗号化状態も表示できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
info
file
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティを初期化します。
構文および説明
acfsutil
sec
init
-h
acfsutil
sec
init
-u
admin
-g
admin_sec_goup
acfsutil
sec
init
-h
は、ヘルプ・テキストを表示して終了します。
表13-48に、acfsutil
sec
init
コマンドで使用可能なオプションを示します。
表13-48 acfsutil sec initコマンドのオプション
オプション | 説明 |
---|---|
|
最初のセキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム・ユーザーであり、 Windowsでは、セキュリティ管理者ユーザー名は |
|
管理者のセキュリティ・グループの名前を指定します。指定したグループは既存のオペレーティング・システム・グループである必要があります。 Windowsでは、グループ名は |
acfsutil
sec
init
コマンドは、セキュリティ資格証明に必要なストレージを作成し、オペレーティング・システム・ユーザーを最初のセキュリティ管理者として識別します。コマンドはまた、指定されたセキュリティ・グループであるオペレーティング・システム・グループを識別します。セキュリティ管理者であるすべてのユーザーは、指定されたセキュリティ・グループのメンバーである必要があります。セキュリティ管理者はすべてのOracle ACFSファイルシステムで共通です。
acfsutil
sec
init
コマンドは、1度実行されて各クラスタに対しOracle ACFSセキュリティが設定されれば、クラスタ内の任意のノードから実行できます。他のセキュリティ・コマンドもクラスタ内の任意のノードから実行できます。
rootユーザーまたはWindowsのAdministrator
ユーザーのみがこのコマンドを実行できます。ユーザーはセキュリティ管理者の一時パスワードを指定します。セキュリティ管理者パスワードは次の形式に従う必要があります。
最大文字数は20です。
最小文字数は8です。
パスワードには少なくとも1つの数字が含まれる必要があります。
パスワードには少なくとも1つの文字が含まれる必要があります。
新しいセキュリティ管理者はacfsutil
sec
admin
password
コマンドを使用してパスワードを変更できます。詳細は、「acfsutil sec admin password」を参照してください。
セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。これにより、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。
例
次に、acfsutil
sec
init
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティ・メタデータをマウント・ポイントで識別したファイルシステムにロードします。
構文および説明
acfsutil
sec
load
-h
acfsutil
sec
load
-m
mount_point
-p
file
acfsutil
sec
load
-h
は、ヘルプ・テキストを表示して終了します。
表13-49に、acfsutil
sec
load
コマンドで使用可能なオプションを示します。
表13-49 acfsutil sec loadコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
既存の保存されたセキュリティ・メタデータ・ファイルの名前を指定します。 |
acfsutil
sec
load
コマンドは保存されたXMLファイル内のセキュリティ・メタデータを指定したOracle ACFSファイルシステムにロードします。
acfsutil
sec
load
コマンドを実行するには、ロード先のマウント・ポイントに、セキュリティ用に用意されたファイルシステムがあり、ユーザー作成のセキュリティ・オブジェクトが含まれない必要があります。
ロード先マウント・ポイントにマウントされたファイルシステムにセキュリティ・オブジェクトが含まれる場合、acfsutil
sec
prepare
-u
を実行して、ファイルシステムに作成済のすべてのセキュリティ・オブジェクトを削除する必要があります。acfsutil
sec
prepare
-u
を正常に実行した後、acfsutil
sec
prepare
を実行して、セキュリティ用のファイルシステムを準備します。acfsutil
sec
prepare
を正常に実行した後で、ファイルシステムでacfsutil
sec
load
を実行できます。ファイルシステムでのセキュリティの準備またはファイルシステムからのセキュリティの削除の詳細は、「acfsutil sec prepare」を参照してください。
acfsutil
sec
load
コマンドではバックアップ・ファイルからシステム・セキュリティ・レルムをロードできません。システム・セキュリティ・レルムはacfsutil
sec
prepare
コマンドを使用して作成されます。acfsutil
sec
load
はこれらのレルムを再作成しません。システム作成のセキュリティ・レルムの詳細は、「acfsutil sec prepare」を参照してください。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
load
コマンドの使用例を示します。
用途
セキュリティ機能用にOracle ACFSファイルシステムを準備します。
構文および説明
acfsutil
sec
prepare
-h
acfsutil
sec
prepare
[-u
] -m
mount_point
acfsutil
sec
prepare
-h
は、ヘルプ・テキストを表示して終了します。
表13-50に、acfsutil
sec
prepare
コマンドで使用可能なオプションを示します。
表13-50 acfsutil sec prepareコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
指定したマウント・ポイントのセキュリティを取り消します。 このコマンドは、ファイルシステムからセキュリティを削除し、ファイルシステムで このコマンドはすべてのレルム保護されたファイルおよびディレクトリをレルムから削除し、すべてのOracle ACFSセキュリティ・ルール、ルール・セットおよびレルムをファイルシステムから破棄します。しかし、 使用中の暗号化およびセキュリティを削除する場合、このコマンドは暗号化を取り消してから実行する必要があります。暗号化を取り消すには、「acfsutil encr set」を参照してください。 |
レルム管理コマンドを実行する前に、acfsutil
sec
prepare
コマンドを実行する必要があります。このコマンドはセキュリティ用に指定したOracle ACFSファイルシステムを準備し、デフォルトでファイルシステムのセキュリティをオンにします。
このコマンドは/
mount_point
/.Security
、/
mount_point
/.Security/backup
および/
mount_point
/.Security/logs
ディレクトリを作成します。ここでmount_point
はコマンドラインで指定するオプションです。
このコマンドでは次のシステム・セキュリティ・レルムを作成します。
SYSTEM_Logs
これはシステムが作成するレルムで.Security/realm/logs/
ディレクトリ内のOracle ACFSセキュリティ・ログ・ファイルを保護します。
SYSTEM_SecurityMetadata
これはシステム生成のレルムで.Security/realm/logs/
ディレクトリ内のOracle ACFSメタデータXMLファイルを保護します。
SYSTEM_Antivirus
これは、Oracle ACFSファイルシステム上で実行中のウィルス対策ソフトウェアにアクセスできる、システム作成のレルムです。すべてのレルム保護されたファイルまたはディレクトリについては、SYSTEM_Antivirus
レルムがファイルまたはディレクトリにアクセスできるかどうかを決定するために認可チェックが実行されるときに、SYSTEM_Antivirus
レルムが評価されます。
レルム保護されたファイルまたはディレクトリにアクセスするためにウィルス対策処理を許可するには、例13-45に示すように、acfsutil
sec
realm
add
コマンドでLocalSystem
またはSYSTEM
グループをレルムに追加する必要があります。その他のウィルス対策処理がAdministrator
として実行中の場合、Administrator
ユーザーはレルム保護されたファイルとディレクトリにアクセスできるようにSYSTEM_Antivirus
レルムに追加される必要があります。
ウィルス対策製品がインストールされていない場合、ユーザーまたはグループをSYSTEM_Antivirus
レルムに追加することはできません。SYSTEM_Antivirus
レルムに追加されたユーザーまたはグループにはREAD
とREADDIR
のアクセスがあるため、このレルムに追加されるユーザーまたはグループを制限します。このレルムのユーザーまたはグループがレルム保護されたファイルまたはディレクトリに時間ベースのルールでアクセスできるときに、時間ウィンドウを制限できます。ファイルをスキャンするウィルス対策インストールにプロセス名を特定できる場合、アプリケーションベースのルールも持つこともできます。
SYSTEM_Antivirus
レルムのみがファイルまたはディレクトリ上でOPEN
、READ
、READDIR
および時間属性の設定の操作を実行できます。ファイルまたはディレクトリを削除するために、セキュリティを無効化して影響を受けるファイルをクリーンアップする必要がある場合があります。
このレルムはWindowsシステムにのみ設定されます。
SYSTEM_BackupOperators
これはシステム生成のレルムで、レルム保護されたファイルおよびディレクトリをバックアップできるユーザーを認証するのに使用できます。ユーザー・グループ、ルール・セットおよびコマンド・ルールをこのレルムに追加して、レルム保護されたファイルおよびディレクトリをバックアップするための密な認証を可能にします。レルム保護されたファイルおよびディレクトリをバックアップするには、ユーザーをこのレルムに追加する必要があります。
ユーザー作成のレルムと同様に、acfsutil
sec
realm
add
コマンドを使用して、ユーザー、グループ、ルール・セットおよびコマンド・ルールをシステム作成のレルムに追加できます。ただし、ファイルおよびディレクトリをシステム・レルムに追加することはお薦めしません。acfsutil
sec
realm
delete
コマンドを使用して、システム作成のレルムからオブジェクトを削除します。
システム作成のセキュリティ・レルムは、システム管理者がacfsutil
sec
admin
destroy
コマンドを使用して削除できません。これらのレルムは、acfsutil
sec
prepare
コマンドを-u
オプションを指定して実行する際に、セキュリティがファイルシステムで取り消されるときにのみ削除されます。
スナップショットがファイルシステムに存在する場合、acfsutil
sec
prepare
–u
コマンドを使用できません。
セキュリティ管理者のみがacfsutil
sec
prepare
コマンドを実行できます。
例
次に、acfsutil
sec
prepare
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティ・レルムにオブジェクトを追加します。
構文および説明
acfsutil
sec
realm
add -h
acfsutil
sec
realm
add
realm
-m
mount_point
{ [-u
user
, ...] [-G
os_group
,...]
[-l
commandrule
:
ruleset
,commandrule
:
ruleset
,...]
[-e
[-a
{AES
}] [-k
{128
|192
|256
} ] ]
[-f
[ -
r] path
...] }acfsutil
sec
realm
add
-h
は、ヘルプ・テキストを表示して終了します。
表13-51に、acfsutil
sec
realm
add
コマンドで使用可能なオプションを示します。
表13-51 acfsutil sec realm addコマンドのオプション
オプション | 説明 |
---|---|
|
追加するレルム名を指定します。 |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
追加するユーザー名を指定します。 |
|
追加するオペレーティング・システム・グループを指定します。 |
|
追加するフィルタを指定します。
コマンドルールのリストについては、表13-52を参照してください。コマンド・ルールのリストを表示するには、 |
|
レルムで暗号化を有効にします。レルムに対して暗号化をオンにすると、レルムに含まれるすべてのファイルが暗号化されます。これらのファイルは暗号化されたレルムの一部でなくなるまで暗号化されたままです。 暗号化されたファイルは、新しく指定した暗号化パラメータと一致するように再暗号化されません。 |
|
レルムの暗号化アルゴリズムを指定します。 |
|
暗号化キー長を指定します。 |
|
指定したファイルがレルム保護されていない場合、ファイルはレルムの暗号化状態と一致するように暗号化または復号化されます。 |
acfsutil
sec
realm
add
コマンドは指定したレルムにオブジェクトを追加します。追加するオブジェクトは、ユーザー、グループ、コマンド・ルール、ルール・セットおよびファイルなどです。オブジェクトの追加時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。
ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。
-e
オプションを指定する場合、暗号化がクラスタに対して初期化され、ファイルシステムで設定されている必要があります。詳細は、「acfsutil encr init」および「acfsutil acfsutil encr set」を参照してください。
.Security
ディレクトリを含むマウント・ポイント全体がレルムに追加される場合、セキュリティ管理者オペレーティング・システム・グループをレルムに追加し、セキュリティ・ログおよびバックアップ操作を管理する必要があります。
サポートしているコマンドをrules表13-52に一覧表示します。これらのコマンドルールで、レルム保護されたファイルおよびディレクトリ上のファイルシステム操作に対して制限または保護します。
表13-52 コマンドルール
ルール | 説明 |
---|---|
|
ファイルおよびディレクトリ上のすべてのファイルシステム操作を保護します。 |
|
ファイルの最後に追加することを制限します。制限には現在のファイルサイズ内で開始する書込みが含まれますが、ファイルの最後を越えて続行されます。 |
|
ファイルまたはディレクトリ上のグループ所有権の変更から保護します。 |
|
ファイルまたはディレクトリ上の権限の変更から保護します。 |
|
ファイルまたはディレクトリ上の所有権情報の変更から保護します。 |
|
ディレクトリ内の新しいファイルの作成から保護します。 |
|
ディレクトリのファイルの削除から保護します。 |
|
ファイルサイズの拡張操作を制限します。ファイルサイズは、別の操作で変更可能な場合があります。 |
|
ファイルまたはディレクトリに対する
ファイルとディレクトリをセキュリティ・レルムにアーカイブするために設定できます。 |
|
ファイルへのハードリンクの作成を制限します。 |
|
ディレクトリ内で新しいディレクトリを作成することから保護します。 |
|
Linux上で |
|
書込み操作のためにメモリーがマップされることからファイルを保護します。 |
|
ファイルを開くことから保護します。 |
|
ファイル内の既存のコンテンツを、開始と終了のオフセットが現在のファイルサイズ内である ファイル上の操作で |
|
セキュリティ管理者グループによる使用を除いて、ディレクトリのリストを制限します。 |
|
ファイルのコンテンツの読取りから保護します。 |
|
ファイルまたはディレクトリの名前変更から保護します。 |
|
ディレクトリの削除から保護します。 |
|
セキュリティ・レルムによって保護されているディレクトリ内のシンボリック・リンクの作成を制限します。シンボリック・リンクを作成するときは、ソース・ファイルがセキュリティ・レルムによって保護されているかどうかは関係ありません。 |
|
ファイルの切捨てを制限します。 |
|
ファイルは、別の操作で変更可能な場合があります。ファイルをその他の変更から保護するには、 |
セキュリティ管理者のみがこのコマンドを実行できます。
例
例13-45に、acfsutil
sec
realm
add
コマンドの使用を示します。最初のacfsutil
sec
コマンドがユーザー・グループをセキュリティ・レルムに追加します。Windows環境では、2番目と3番目のコマンドがLocalSystem
またはSYSTEM
グループをSYSTEM_Antivirus
レルムに追加します。
用途
Oracle ACFSセキュリティ・レルムをクローン化します。
構文および説明
acfsutil
sec
realm
clone -h
acfsutil
sec
realm
clone
realm
-s
src_mount_point
new_realm
[-e
] [-f
] [-G
] [-l
] [-u
]acfsutil
sec
realm
clone
realm
-s
src_mount_point
[new_realm
] -d
destination_mount_point
[-e
] [-G
] [-l
] [-u
]acfsutil
sec
realm
clone
-h
は、ヘルプ・テキストを表示して終了します。
表13-53に、acfsutil
sec
realm
clone
コマンドで使用可能なオプションを示します。
表13-53 acfsutil sec realm cloneコマンドのオプション
オプション | 説明 |
---|---|
|
クローン化するレルム名を指定します。 |
|
ソース・ファイルシステムがマウントされるディレクトリを指定します。 |
|
新しいレルム名を指定します。 |
|
新しいレルムの宛先マウント・ポイントのディレクトリを指定します。 |
|
暗号化属性を新しいレルムにコピーします。 |
|
ファイル・オブジェクトを新しいレルムにコピーします。 |
|
オペレーティング・システム・グループを新しいレルムにコピーします。 |
|
フィルタを新しいレルムにコピーします。 |
|
ユーザーを新しいレルムにコピーします。 |
acfsutil
sec
realm
clone
コマンドは指定したレルムのコピーを宛先マウント・ポイントに作成します。ソースとマウント・ポイントが異なり、新しいレルム名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のレルム名を使用してレルムがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたレルムはソース・マウント・ポイントに配置され、新しい一意のレルム名を指定する必要があります。
-l
オプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、ルールおよびルール・セットが最初にクローン化される必要があります。
-e
オプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、暗号化が宛先マウント・ポイントに設定される必要があります。詳細は、「acfsutil encr set」を参照してください。
-f
オプションは宛先マウント・ポイントがソース・マウント・ポイントと同じである場合にのみ使用できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
realm
clone
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティ・レルムを作成します。
構文および説明
acfsutil
sec
realm
create -h
acfsutil
sec
realm
create
realm
-m
mount_point
-e
{ on
-a
{AES
} -k
{128
|192
|256
} | off
}
[-o
{enable
|disable
}] [-d
"
description
"
]acfsutil
sec
realm
create
-h
は、ヘルプ・テキストを表示して終了します。
表13-54に、acfsutil
sec
realm
create
コマンドで使用可能なオプションを示します。
表13-54 acfsutil sec realm createコマンドのオプション
オプション | 説明 |
---|---|
|
レルム名を指定します。 |
|
ファイルシステムのマウント・ポイントを指定します。マウント・ポイントはLinux/Unix上のパスとして指定します。 |
|
レルムの暗号化をオンまたはオフに指定します。 |
|
暗号化アルゴリズムを指定します。 |
|
暗号化キー長を指定します。 |
|
レルムのセキュリティをオンまたはオフに指定します。 |
|
レルムの説明を指定します。 |
acfsutil
sec
create
realm
は指定したOracle ACFSファイルシステムに新しいレルムを作成します。新しいレルム名はマウント・ポイントで識別されるファイルシステムで一意の名前である必要があります。
acfsutil
sec
prepare
コマンドによって作成されたデフォルトのシステム・レルムを含む最大500のOracle ACFSセキュリティ・レルムを作成できます。
-o
disable
オプションが指定されていないかぎり、デフォルトでレルムは有効です。
-e
on
オプションを指定する場合は、暗号化をクラスタに対して初期化し、ファイルシステムに設定する必要があります。詳細は、「acfsutil encr init」および「acfsutil acfsutil encr set」を参照してください。
-e
off
オプションを指定すると、-a
および-k
オプションは指定できません。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
realm
create
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティ・レルムからオブジェクトを削除します。
構文および説明
acfsutil
sec
realm
delete -h
acfsutil
sec
realm
delete
realm
-m
mount_point
{ [-u
user
, ...] [-G
os_group
,...]
[-l
commandrule
:
ruleset
,commandrule
:
ruleset
,...]
[-f
[ -
r] path
,...] ] [-e
] }acfsutil
sec
realm
delete
-h
は、ヘルプ・テキストを表示して終了します。
表13-55に、acfsutil
sec
realm
delete
コマンドで使用可能なオプションを示します。
表13-55 acfsutil sec realm deleteコマンドのオプション
オプション | 説明 |
---|---|
|
レルム名を指定します。 |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
削除するユーザー名を指定します。 |
|
削除するオペレーティング・システム・グループを指定します。 |
|
レルムから削除するフィルタを指定します。コマンド・ルールのリストを表示するには、 |
|
これがファイルをセキュリティ保護している最後のレルムである場合、そのファイルはファイルシステム・レベルの暗号化状態と一致するように暗号化または復号化されます。 |
|
レルムで暗号化を無効にします。 暗号化を無効にするときに、このオプションは他の暗号化されたレルムに属していない、レルム内のファイルを復号化します。ファイルが暗号化された他のレルムの一部であるか、またはファイルシステムで暗号化がオンになる場合、そのファイルは暗号化されたままです。 |
acfsutil
sec
realm
delete
コマンドは指定したレルムからオブジェクトを削除します。削除するオブジェクトは、ユーザー、グループ、ルール・セットおよびファイルなどです。オブジェクトの削除時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。
ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
realm
delete
コマンドの使用例を示します。
用途
Oracle ACFSセキュリティ・レルムを破棄します。
構文および説明
acfsutil
sec
realm
destroy -h
acfsutil
sec
realm
destroy
realm
-m
mount_point
acfsutil
sec
realm
destroy
-h
は、ヘルプ・テキストを表示して終了します。
表13-56に、acfsutil
sec
realm
destroy
コマンドで使用可能なオプションを示します。
表13-56 acfsutil sec realm destroyコマンドのオプション
オプション | 説明 |
---|---|
|
レルム名を指定します。 |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
acfsutil
sec
destroy
realm
は指定したOracle ACFSファイルシステムからセキュリティ・レルムを削除します。レルムを破棄してもレルム内のオブジェクトは破棄されません。このコマンドは、オブジェクトからレルムに関連しているセキュリティを削除するだけです。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
realm
destroy
コマンドの使用例を示します。
用途
セキュリティ・ルールをクローン化します。
構文および説明
acfsutil
sec
rule
clone
-h
acfsutil
sec
rule
clone
rule
-s
src_mount_point
new_rule
acfsutil
sec
rule
clone
rule
-s
src_mount_point
[new_rule
] -d
mount_point
acfsutil
sec
rule
clone
-h
は、ヘルプ・テキストを表示して終了します。
表13-57に、acfsutil
sec
rule
clone
コマンドで使用可能なオプションを示します。
表13-57 acfsutil sec rule cloneコマンドのオプション
オプション | 説明 |
---|---|
|
ルールの既存の名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
ソース・ファイルシステムがマウントされるディレクトリを指定します。 |
|
ファイルシステムの宛先マウント・ポイントのディレクトリを指定します。 |
|
ルールの新しい名前を指定します。名前に空白文字が含まれる場合は引用符( |
ソースとマウント・ポイントが異なり、新しいルール名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のルール名を使用してルールがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルールはソース・マウント・ポイントに配置され、新しい一意のルール名を指定する必要があります。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
rule
clone
コマンドの使用例を示します。
用途
セキュリティ・ルールを作成します。
構文および説明
acfsutil
sec
rule
create
-h
acfsutil
sec
rule
create
rule
-m
mount_point
-t
rule_type
rule_value
[-o
{ALLOW
|DENY
}]acfsutil
sec
rule
create
-h
は、ヘルプ・テキストを表示して終了します。
表13-58に、acfsutil
sec
rule
create
コマンドで使用可能なオプションを示します。
表13-58 acfsutil sec rule createコマンドのオプション
オプション | 説明 |
---|---|
|
ルールの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
ルールのタイプとルールの値を指定します。ルールのタイプには、 |
|
|
acfsutil
sec
rule
create
はマウント・ポイントで指定したOracle ACFSファイルシステムに新しいルールを作成します。新しいルールはルール・セットに追加でき、ルール・セットはセキュリティ・レルムに追加できます。
最大500のOracle ACFSセキュリティ・ルールを作成できます。
ルールのタイプと関連するルールの値には、次のものがあります。
application
このルールのタイプでは、レルムにより保護されたオブジェクトへのアクセスが許可または拒否されるアプリケーションの名前を指定します。
hostname
このルールのタイプでは、レルムにより保護されたオブジェクトへユーザーがアクセスする元のマシンの名前を指定します。このルールを使用してノードからのアクセスが許可または拒否されます。hostname
にはいずれかのクラスタ・ノード名を指定する必要があり、ネットワーク・ファイルシステム(NFS)マウントとしてOracle ACFSファイルシステムをマウントした他の外部ノードは指定できません。
time
このルールのタイプでは、start_time
,end_time
形式で時間間隔を指定します。この時間間隔でレルムへのアクセスを指定します。レルムにより保護されたオブジェクトへのアクセスは、レルム内のこのルール設定により、1日のうち特定の時間だけ許可または拒否されます。この時間はホストのローカル時間に基づきます。
username
このルールのタイプでは、レルムに追加またはレルムから削除するユーザー名を指定します。このオプションは、レルムの一部であるセキュリティ・グループに属する任意のユーザーのアクセスを拒否するのに使用できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
rule
create
コマンドの使用例を示します。
用途
セキュリティ・ルールを削除します。
構文および説明
acfsutil
sec
rule
destroy
-h
acfsutil
sec
rule
destroy
rule
-m
mount_point
acfsutil
sec
rule
destroy
-h
は、ヘルプ・テキストを表示して終了します。
表13-59に、acfsutil
sec
rule
destroy
コマンドで使用可能なオプションを示します。
表13-59 acfsutil sec rule destroyコマンドのオプション
オプション | 説明 |
---|---|
|
ルールの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
acfsutil
sec
rule
destroy
はマウント・ポイントで指定したOracle ACFSファイルシステムのルール・セットからルールを削除します。すべてのルールが破棄されてもルール・セットは破棄されません。空のルール・セットは明示的に破棄する必要があります。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
rule
destroy
コマンドの使用例を示します。
用途
セキュリティ・ルールを更新します。
構文および説明
acfsutil
sec
rule
edit
-h
acfsutil
sec
rule
edit
rule
-m
mount_point
{ [-t
rule_type
rule_value
] [-o
{ALLOW
|DENY
}] }acfsutil
sec
rule
edit
-h
は、ヘルプ・テキストを表示して終了します。
表13-60に、acfsutil
sec
rule
edit
コマンドで使用可能なオプションを示します。
表13-60 acfsutil sec rule editコマンドのオプション
オプション | 説明 |
---|---|
|
ルールの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
ルールのタイプとルールの値を指定します。ルールのタイプには、 |
|
|
acfsutil
sec
rule
edit
はルールを更新します。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
rule
edit
コマンドの使用例を示します。
用途
セキュリティ・ルール・セットをクローン化します。
構文および説明
acfsutil
sec
ruleset
clone
-h
acfsutil
sec
ruleset
clone
ruleset
-s
mount_point
new_ruleset
acfsutil
sec
ruleset
clone
ruleset
-s
mount_point
[new_ruleset
] -d
mount_point
acfsutil
sec
ruleset
clone
-h
は、ヘルプ・テキストを表示して終了します。
表13-61に、acfsutil
sec
ruleset
clone
コマンドで使用可能なオプションを示します。
表13-61 acfsutil sec ruleset cloneコマンドのオプション
オプション | 説明 |
---|---|
|
ルール・セットの既存の名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
ソース・ファイルシステムがマウントされるディレクトリを指定します。 |
|
ファイルシステムの宛先マウント・ポイントのディレクトリを指定します。 |
|
ルール・セットの新しい名前を指定します。名前に空白文字が含まれる場合は引用符( |
ソース・マウント・ポイントが宛先マウント・ポイントと異なる場合、ルール・セット内のルールが最初にクローン化される必要があります。
ソースとマウント・ポイントが異なり、新しいルール・セット名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のルール・セット名を使用してルール・セットがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルール・セットはソース・マウント・ポイントに配置され、新しい一意のルール・セット名を指定する必要があります。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
ruleset
clone
コマンドの使用例を示します。
用途
セキュリティ・ルール・セットを作成します。
構文および説明
acfsutil
sec
ruleset
create
-h
acfsutil
sec
ruleset
create
rule_set
-m
mount_point
[-o
{ALL_TRUE
|ANY_TRUE
}]acfsutil
sec
ruleset
create
-h
は、ヘルプ・テキストを表示して終了します。
表13-62に、acfsutil
sec
ruleset
create
コマンドで使用可能なオプションを示します。
表13-62 acfsutil sec ruleset createコマンドのオプション
オプション | 説明 |
---|---|
|
ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
|
acfsutil
sec
ruleset
create
は指定したマウント・ポイントに新しいルール・セットを作成します。
最大500のOracle ACFSセキュリティ・ルール・セットを作成できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
ruleset
create
コマンドの使用例を示します。
用途
セキュリティ・ルール・セットを削除します。
構文および説明
acfsutil
sec
ruleset
destroy
-h
acfsutil
sec
ruleset
destroy
rule_set
-m
mount_point
acfsutil
sec
ruleset
destroy
-h
は、ヘルプ・テキストを表示して終了します。
表13-63に、acfsutil
sec
ruleset
destroy
コマンドで使用可能なオプションを示します。
表13-63 acfsutil sec ruleset destroyコマンドのオプション
オプション | 説明 |
---|---|
|
ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
acfsutil
sec
ruleset
destroy
はマウント・ポイントで指定したOracle ACFSファイルシステムからルール・セットを削除します。セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
ruleset
destroy
コマンドの使用例を示します。
用途
セキュリティ・ルール・セットを更新します。
構文および説明
acfsutil
sec
ruleset
edit
-h
acfsutil
sec
ruleset
edit
rule_set
-m
mount_point
{ [-a
rule
,...] [-d
rule
,...] [-o
{ALL_TRUE
|ANY_TRUE
}]}acfsutil
sec
ruleset
edit
-h
は、ヘルプ・テキストを表示して終了します。
表13-64に、acfsutil
sec
ruleset
edit
コマンドで使用可能なオプションを示します。
表13-64 acfsutil sec ruleset editコマンドのオプション
オプション | 説明 |
---|---|
|
ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
追加するルールを指定します。 |
|
削除するルールを指定します。 |
|
|
acfsutil
sec
ruleset
edit
はマウント・ポイントで指定したOracle ACFSファイルシステムのルール・セットを更新します。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
ruleset
edit
コマンドの使用例を示します。
用途
Oracle ACFSファイルシステム・セキュリティ・メタデータを保存します。
構文および説明
acfsutil
sec
save
-h
acfsutil
sec
save
-m
mount_point
-p
file
acfsutil
sec
save
-h
は、ヘルプ・テキストを表示して終了します。
表13-65に、acfsutil
sec
save
コマンドで使用可能なオプションを示します。
表13-65 acfsutil sec saveコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
セキュリティ・メタデータを保存するファイル名を指定します。ファイルは |
acfsutil
sec
save
コマンドを実行してOracle ACFSファイルシステムのセキュリティ・メタデータをXMLファイルに保存します。デフォルトで、ファイルは/
mount_point
/.Security/backup
ディレクトリに保存されます。
このファイルはバックアップ・アプリケーションにより通常のファイルとしてバックアップできます。システム・レルムはこのファイルを保護し、そのレルムのメンバーだけがこのファイルにアクセスでき、rootユーザーやシステム管理者を含むその他のすべてのユーザーはアクセスできません。システム作成のセキュリティ・レルムの詳細は、「acfsutil sec prepare」を参照してください。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil
sec
save
コマンドの使用例を示します。