セキュリティ用のOracle ACFSコマンドライン・ツール

表13-40に、Oracle ACFSセキュリティ用コマンドの概要を示します。

すべてのプラットフォームでacfsutil helpを実行して、ヘルプ・テキストを表示できます。すべてのプラットフォームでacfsutil versionを実行して、Oracle ACFSのバージョンを表示できます。

Windowsプラットフォームでコマンドにオプションを付けて入力するときには、オプションとともに-のかわりに/を使用します。たとえば、acfsutil -hを使用してLinuxプラットフォームでacfsutilのヘルプを表示できます。Windowsプラットフォームでは、acfsutil /hを使用します。

Windowsオペレーティング・システムでのマウント・ポイントはドライブ文字またはドライブ文字を含むディレクトリのいずれでもよいことに注意してください。

表13-40 Oracle ACFSセキュリティ用のコマンドの概要

コマンド	説明
acfsutil sec admin add	セキュリティ管理者を追加します。
acfsutil sec admin password	セキュリティ管理者のパスワードを変更します。
acfsutil sec admin remove	セキュリティ管理者を削除します。
acfsutil sec batch	バッチ・ファイルを実行します。
acfsutil sec disable	Oracle ACFSセキュリティを無効にします。
acfsutil sec enable	Oracle ACFSセキュリティを有効にします。
acfsutil sec info	Oracle ACFSファイルシステム・セキュリティ情報を表示します。
acfsutil sec info file	指定したファイルまたはディレクトリが属するセキュリティ・レルムをリストします。
acfsutil sec init	Oracle ACFSファイルシステム・セキュリティを初期化します。
acfsutil sec load	Oracle ACFSファイルシステム・セキュリティ・メタデータをロードします。
acfsutil sec prepare	セキュリティ用にOracle ACFSファイルシステムを準備します。
acfsutil sec realm add	Oracle ACFSファイルシステム・レルムにオブジェクトを追加します。
acfsutil sec realm clone	Oracle ACFSファイルシステム・レルムをクローン化します。
acfsutil sec realm create	Oracle ACFSファイルシステム・レルムを作成します。
acfsutil sec realm delete	Oracle ACFSファイルシステム・レルムからオブジェクトを削除します。
acfsutil sec realm destroy	Oracle ACFSファイルシステム・レルムを削除します。
acfsutil sec rule clone	Oracle ACFSファイルシステム・セキュリティ・ルールをクローン化します。
acfsutil sec rule create	Oracle ACFSファイルシステム・セキュリティ・ルールを作成します。
acfsutil sec rule destroy	Oracle ACFSファイルシステム・セキュリティ・ルールを削除します。
acfsutil sec rule edit	Oracle ACFSファイルシステム・セキュリティ・ルールを更新します。
acfsutil sec ruleset clone	Oracle ACFSファイルシステム・セキュリティ・ルール・セットをクローン化します。
acfsutil sec ruleset create	Oracle ACFSファイルシステム・セキュリティ・ルール・セットを作成します。
acfsutil sec ruleset destroy	Oracle ACFSファイルシステム・ルール・セットを削除します。
acfsutil sec ruleset edit	Oracle ACFSファイルシステム・ルール・セットを更新します。
acfsutil sec save	Oracle ACFSファイルシステム・セキュリティ・メタデータを保存します。

acfsutil sec admin add

用途

Oracle ACFSファイルシステムの新しいセキュリティ管理者を追加します。

構文および説明

acfsutil sec admin add -h
acfsutil sec admin add admin

acfsutil sec admin add -hは、ヘルプ・テキストを表示して終了します。

表13-41に、acfsutil sec admin addコマンドで使用可能なオプションを示します。

表13-41 acfsutil sec admin addコマンドのオプション

オプション	説明
admin	セキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム・ユーザーであり、acfsutil sec initコマンドで指定したセキュリティ・グループのメンバーである必要があります。 Windowsでは、セキュリティ管理者ユーザー名はdomain_name\usernameの形式での完全修飾ドメインユーザー名で指定される必要があります。

セキュリティ管理者はクラスタ内のすべてのOracle ACFSファイルシステムで共通です。一時パスワードを新しいセキュリティ管理者に与える必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。

新しいセキュリティ管理者はacfsutil sec admin passwordコマンドを使用してパスワードを変更できます。詳細は、「acfsutil sec admin password」を参照してください。

セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。これにより、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。

既存のセキュリティ管理者のみがこのコマンドを使用できます。

例

次に、acfsutil sec admin addコマンドの使用例を示します。

例13-34 acfsutil sec admin addコマンドの使用方法

$ /sbin/acfsutil sec admin add sec_admin_three

acfsutil sec admin password

用途

Oracle ACFSファイルシステムのセキュリティ管理者のパスワードを変更します。

構文および説明

acfsutil sec admin password -h
acfsutil sec admin password

acfsutil sec admin password -hは、ヘルプ・テキストを表示して終了します。

acfsutil sec admin passwordコマンドは、コマンドを実行している管理者のセキュリティ・パスワードを変更します。このコマンドを実行するときに、新しいパスワードの入力を求められます。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。

セキュリティ管理者はacfsutil secコマンドを実行するたびに、セキュリティ管理者のパスワードを求められます。

注意: セキュリティ管理者のパスワードを求められる場合、次のテキストが表示されます。Realm management password 要求されるパスワードはOracle ACFSセキュリティ管理者のパスワードであり、ユーザーのオペレーティング・システム・パスワードではありません。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec admin passwordコマンドの使用例を示します。

例13-35 acfsutil sec admin passwordコマンドの使用方法

$ /sbin/acfsutil sec admin password

acfsutil sec admin remove

用途

Oracle ACFSファイルシステムのセキュリティ管理者を削除します。

構文および説明

acfsutil sec admin remove -h
acfsutil sec admin remove admin

acfsutil sec admin remove -hは、ヘルプ・テキストを表示して終了します。

表13-42に、acfsutil sec admin removeコマンドで使用可能なオプションを示します。

表13-42 acfsutil sec admin removeコマンドのオプション

オプション	説明
admin	既存のセキュリティ管理者のユーザー名を指定します。 Windowsでは、セキュリティ管理者ユーザー名はdomain_name\usernameの形式での完全修飾ユーザー名で指定される必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec admin removeコマンドの使用例を示します。

例13-36 acfsutil sec admin removeコマンドの使用方法

$ /sbin/acfsutil sec admin remove sec_admin_three

acfsutil sec batch

用途

指定したバッチ・ファイルを実行します。

構文および説明

acfsutil sec batch -h
acfsutil sec batch batch_file

acfsutil sec batch -hは、ヘルプ・テキストを表示して終了します。

表13-43に、acfsutil sec batchコマンドで使用可能なオプションを示します。

表13-43 acfsutil sec batchコマンドのオプション

オプション	説明
batch_file	既存のバッチ・ファイル名を指定します。バッチファイルにはacfsutil secコマンドのリストが含まれます。

バッチ・ファイルにはセキュリティ・レルム管理コマンドのみを含めることができます。対話型コマンドはお薦めしません。acfsutil sec admin add、acfsutil sec admin password、およびacfsutil sec initコマンドはバッチ・ファイルでサポートされません。また、acfsutil encrコマンドなどのその他のacfsutilも、バッチ・ファイルに含めることはできません。バッチ・ファイルでコマンドが失敗すると、バッチ・ファイル内のその後のコマンドは実行されません。

次にバッチ・ファイルに含めることのできるコマンドの例を示します。

acfsutil sec realm create my_realm1 -m /mnt1 -e off
acfsutil sec realm create my_realm2 -m /mnt2 -e off

セキュリティ管理者のみがこのコマンドを実行できます。コマンドを実行するときに、管理者は一度パスワードを求められます。

例

次に、acfsutil sec batchコマンドの使用例を示します。

例13-37 acfsutil sec batchコマンドの使用方法

$ /sbin/acfsutil sec batch my_batch_file

acfsutil sec disable

用途

マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを無効にします。

構文および説明

acfsutil sec disable -h
acfsutil sec disable -m mount_point [-S snap_name] [realm]

acfsutil sec disable -hは、ヘルプ・テキストを表示して終了します。

表13-44に、acfsutil sec disableコマンドで使用可能なオプションを示します。

表13-44 acfsutil sec disableコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
realm	Oracle ACFSファイルシステムのセキュリティ・レルムの名前を指定します。
-S snap_name	指定した読取り-書込みスナップショットに対するセキュリティ機能を無効にします。

acfsutil sec disable -m mount_pointコマンドは、マウント・ポイントで指定したOracle ACFSファイルシステムでセキュリティ機能を無効にします。ファイルシステムでセキュリティが無効になると、セキュリティ・レルムはレルム認証を行いません。

acfsutil sec disable -m mount_point realmコマンドは、特定のレルムのセキュリティ機能を無効にします。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec disableコマンドの使用例を示します。

例13-38 acfsutil sec disableコマンドの使用方法

$ /sbin/acfsutil sec disable -m /u01/app/acfsmounts/myacfs my_realm

acfsutil sec enable

用途

マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを有効にします。

構文および説明

acfsutil sec enable -h
acfsutil sec enable -m mount_point [-S snap_name] [realm]

acfsutil sec enable -hは、ヘルプ・テキストを表示して終了します。

表13-45に、acfsutil sec enableコマンドで使用可能なオプションを示します。

表13-45 acfsutil sec enableコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
realm	セキュリティ・レルムの名前を指定します。
-S snap_name	指定した読取り-書込みスナップショットに対するセキュリティ機能を有効にします。

acfsutil sec enable -m mount_pointコマンドは、マウント・ポイントで指定したOracle ACFSファイルシステムでセキュリティ機能を有効にします。ファイルシステムでセキュリティが有効になると、有効になったセキュリティ・レルムはレルム認証を行います。個別のセキュリティ・レルムを有効にする前に、このコマンドを実行する必要があります。

acfsutil sec enable -m mount_point realmコマンドは、特定のレルムのセキュリティ機能を有効にします。ファイルシステムでセキュリティが有効になると、レルムは認証を行います。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec enableコマンドの使用例を示します。

例13-39 acfsutil sec enableコマンドの使用方法

$ /sbin/acfsutil sec enable -m /u01/app/acfsmounts/myacfs

$ /sbin/acfsutil sec enable -m /u01/app/acfsmounts/myacfs my_realm

acfsutil sec info

用途

Oracle ACFSセキュリティに関する情報を表示します。

構文および説明

acfsutil sec info -h
acfsutil sec info -m mount_point
     [{-n [realm] | -l [rule] |-s [ruleset] |-c }] [-S snap_name]

acfsutil sec info -hは、ヘルプ・テキストを表示して終了します。

表13-46に、acfsutil sec infoコマンドで使用可能なオプションを示します。

表13-46 acfsutil sec infoコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-n realm	指定したセキュリティ・レルムに関する情報を表示します。レルム名を省略すると、すべてのレルムのリストが表示されます。
-l rule	指定したルールに関する情報を表示します。ルール名を省略すると、すべてのルールのリストが表示されます。
-s ruleset	指定したルール・セットに関する情報を表示します。ルール・セット名を省略すると、すべてのルール・セットのリストが表示されます。
-c	すべてのコマンド・ルールをリストします。
-S snap_name	指定したスナップショット内のレルム、ルールおよびルール・セットについての情報を表示します。

acfsutil sec infoコマンドは、指定したマウント・ポイントのレルム、ルールおよびルール・セットのリストに関する情報を取得します。特定のレルム、ルールまたはルール・セットを指定することで、指定したレルム、ルールまたはルール・セットに特有の情報を取得できます。指定したスナップショットについての情報も表示できます。

-mオプションを指定して他のオプションを指定しない場合、指定したマウント・ポイントのセキュリティの有効状態および準備状態が表示されます。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec infoコマンドの使用例を示します。

例13-40 acfsutil sec infoコマンドの使用方法

$ /sbin/acfsutil sec info -m /u01/app/acfsmounts/myacfs -n my_realm

acfsutil sec info file

用途

指定したファイルまたはディレクトリが属するOracle ACFSセキュリティ・レルムの名前をリストします。

構文および説明

acfsutil sec info file -h
acfsutil sec info file -m mount_point path

acfsutil sec info file -hは、ヘルプ・テキストを表示して終了します。

表13-47に、acfsutil sec info fileコマンドで使用可能なオプションを示します。

表13-47 acfsutil sec info fileコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
path	ファイルシステム内のファイルまたはディレクトリのパスを指定します。

このコマンドではファイルの暗号化状態も表示できます。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec info fileコマンドの使用例を示します。

例13-41 acfsutil sec info fileコマンドの使用方法

$ /sbin/acfsutil sec info file -m /u01/app/acfsmounts/myacfs
                                  /u01/app/acfsmounts/myacfs/myfiles

acfsutil sec init

用途

Oracle ACFSセキュリティを初期化します。

構文および説明

acfsutil sec init -h
acfsutil sec init -u admin -g admin_sec_goup

acfsutil sec init -hは、ヘルプ・テキストを表示して終了します。

表13-48に、acfsutil sec initコマンドで使用可能なオプションを示します。

表13-48 acfsutil sec initコマンドのオプション

オプション	説明
-u admin	最初のセキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム・ユーザーであり、-gオプションで指定したオペレーティング・システム・グループのメンバーである必要があります。 Windowsでは、セキュリティ管理者ユーザー名はdomain_name\usernameの形式での完全修飾ユーザー名で指定される必要があります。
-g admin_sec_group	管理者のセキュリティ・グループの名前を指定します。指定したグループは既存のオペレーティング・システム・グループである必要があります。 Windowsでは、グループ名はdomain_name\groupnameの形式での完全修飾ドメイングループ名で指定される必要があります。domain_name\groupnameがスペースを含む場合、文字列を二重引用符(" ")で囲みます。

acfsutil sec initコマンドは、セキュリティ資格証明に必要なストレージを作成し、オペレーティング・システム・ユーザーを最初のセキュリティ管理者として識別します。コマンドはまた、指定されたセキュリティ・グループであるオペレーティング・システム・グループを識別します。セキュリティ管理者であるすべてのユーザーは、指定されたセキュリティ・グループのメンバーである必要があります。セキュリティ管理者はすべてのOracle ACFSファイルシステムで共通です。

acfsutil sec initコマンドは、1度実行されて各クラスタに対しOracle ACFSセキュリティが設定されれば、クラスタ内の任意のノードから実行できます。他のセキュリティ・コマンドもクラスタ内の任意のノードから実行できます。

rootユーザーまたはWindowsのAdministratorユーザーのみがこのコマンドを実行できます。ユーザーはセキュリティ管理者の一時パスワードを指定します。セキュリティ管理者パスワードは次の形式に従う必要があります。

• 最大文字数は20です。

• 最小文字数は8です。

• パスワードには少なくとも1つの数字が含まれる必要があります。

• パスワードには少なくとも1つの文字が含まれる必要があります。

新しいセキュリティ管理者はacfsutil sec admin passwordコマンドを使用してパスワードを変更できます。詳細は、「acfsutil sec admin password」を参照してください。

セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。これにより、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。

例

次に、acfsutil sec initコマンドの使用例を示します。

例13-42 acfsutil sec initコマンドの使用方法

$ /sbin/acfsutil sec init -u grid -g asmadmin

acfsutil sec load

用途

Oracle ACFSセキュリティ・メタデータをマウント・ポイントで識別したファイルシステムにロードします。

構文および説明

acfsutil sec load -h
acfsutil sec load -m mount_point -p file

acfsutil sec load -hは、ヘルプ・テキストを表示して終了します。

表13-49に、acfsutil sec loadコマンドで使用可能なオプションを示します。

表13-49 acfsutil sec loadコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-p file	既存の保存されたセキュリティ・メタデータ・ファイルの名前を指定します。

acfsutil sec loadコマンドは保存されたXMLファイル内のセキュリティ・メタデータを指定したOracle ACFSファイルシステムにロードします。

acfsutil sec loadコマンドを実行するには、ロード先のマウント・ポイントに、セキュリティ用に用意されたファイルシステムがあり、ユーザー作成のセキュリティ・オブジェクトが含まれない必要があります。

ロード先マウント・ポイントにマウントされたファイルシステムにセキュリティ・オブジェクトが含まれる場合、acfsutil sec prepare -uを実行して、ファイルシステムに作成済のすべてのセキュリティ・オブジェクトを削除する必要があります。acfsutil sec prepare -uを正常に実行した後、acfsutil sec prepareを実行して、セキュリティ用のファイルシステムを準備します。acfsutil sec prepareを正常に実行した後で、ファイルシステムでacfsutil sec loadを実行できます。ファイルシステムでのセキュリティの準備またはファイルシステムからのセキュリティの削除の詳細は、「acfsutil sec prepare」を参照してください。

acfsutil sec loadコマンドではバックアップ・ファイルからシステム・セキュリティ・レルムをロードできません。システム・セキュリティ・レルムはacfsutil sec prepareコマンドを使用して作成されます。acfsutil sec loadはこれらのレルムを再作成しません。システム作成のセキュリティ・レルムの詳細は、「acfsutil sec prepare」を参照してください。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec loadコマンドの使用例を示します。

例13-43 acfsutil sec loadコマンドの使用方法

$ /sbin/acfsutil sec load -m /u01/app/acfsmounts/myacfs -p my_metadata_file.xml

acfsutil sec prepare

用途

セキュリティ機能用にOracle ACFSファイルシステムを準備します。

構文および説明

acfsutil sec prepare -h
acfsutil sec prepare [-u] -m mount_point

acfsutil sec prepare -hは、ヘルプ・テキストを表示して終了します。

表13-50に、acfsutil sec prepareコマンドで使用可能なオプションを示します。

表13-50 acfsutil sec prepareコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-u	指定したマウント・ポイントのセキュリティを取り消します。 このコマンドは、ファイルシステムからセキュリティを削除し、ファイルシステムでacfsutil sec prepareが実行する前の状態にファイルシステムを戻します。 このコマンドはすべてのレルム保護されたファイルおよびディレクトリをレルムから削除し、すべてのOracle ACFSセキュリティ・ルール、ルール・セットおよびレルムをファイルシステムから破棄します。しかし、.Securityディレクトリおよびそのコンテンツ(ログ・ファイルおよびセキュリティ・メタデータ・バックアップ・ファイルを含む)は削除されません。 使用中の暗号化およびセキュリティを削除する場合、このコマンドは暗号化を取り消してから実行する必要があります。暗号化を取り消すには、「acfsutil encr set」を参照してください。

レルム管理コマンドを実行する前に、acfsutil sec prepareコマンドを実行する必要があります。このコマンドはセキュリティ用に指定したOracle ACFSファイルシステムを準備し、デフォルトでファイルシステムのセキュリティをオンにします。

このコマンドは/mount_point/.Security、/mount_point/.Security/backupおよび/mount_point/.Security/logsディレクトリを作成します。ここでmount_pointはコマンドラインで指定するオプションです。

このコマンドでは次のシステム・セキュリティ・レルムを作成します。

• SYSTEM_Logs

  これはシステムが作成するレルムで.Security/realm/logs/ディレクトリ内のOracle ACFSセキュリティ・ログ・ファイルを保護します。

• SYSTEM_SecurityMetadata

  これはシステム生成のレルムで.Security/realm/logs/ディレクトリ内のOracle ACFSメタデータXMLファイルを保護します。

• SYSTEM_Antivirus

  これは、Oracle ACFSファイルシステム上で実行中のウィルス対策ソフトウェアにアクセスできる、システム作成のレルムです。すべてのレルム保護されたファイルまたはディレクトリについては、SYSTEM_Antivirusレルムがファイルまたはディレクトリにアクセスできるかどうかを決定するために認可チェックが実行されるときに、SYSTEM_Antivirusレルムが評価されます。

  レルム保護されたファイルまたはディレクトリにアクセスするためにウィルス対策処理を許可するには、例13-45に示すように、acfsutil sec realm addコマンドでLocalSystemまたはSYSTEMグループをレルムに追加する必要があります。その他のウィルス対策処理がAdministratorとして実行中の場合、Administratorユーザーはレルム保護されたファイルとディレクトリにアクセスできるようにSYSTEM_Antivirusレルムに追加される必要があります。

  ウィルス対策製品がインストールされていない場合、ユーザーまたはグループをSYSTEM_Antivirusレルムに追加することはできません。SYSTEM_Antivirusレルムに追加されたユーザーまたはグループにはREADとREADDIRのアクセスがあるため、このレルムに追加されるユーザーまたはグループを制限します。このレルムのユーザーまたはグループがレルム保護されたファイルまたはディレクトリに時間ベースのルールでアクセスできるときに、時間ウィンドウを制限できます。ファイルをスキャンするウィルス対策インストールにプロセス名を特定できる場合、アプリケーションベースのルールも持つこともできます。

  SYSTEM_Antivirusレルムのみがファイルまたはディレクトリ上でOPEN、READ、READDIRおよび時間属性の設定の操作を実行できます。ファイルまたはディレクトリを削除するために、セキュリティを無効化して影響を受けるファイルをクリーンアップする必要がある場合があります。

  このレルムはWindowsシステムにのみ設定されます。

• SYSTEM_BackupOperators

  これはシステム生成のレルムで、レルム保護されたファイルおよびディレクトリをバックアップできるユーザーを認証するのに使用できます。ユーザー・グループ、ルール・セットおよびコマンド・ルールをこのレルムに追加して、レルム保護されたファイルおよびディレクトリをバックアップするための密な認証を可能にします。レルム保護されたファイルおよびディレクトリをバックアップするには、ユーザーをこのレルムに追加する必要があります。

ユーザー作成のレルムと同様に、acfsutil sec realm addコマンドを使用して、ユーザー、グループ、ルール・セットおよびコマンド・ルールをシステム作成のレルムに追加できます。ただし、ファイルおよびディレクトリをシステム・レルムに追加することはお薦めしません。acfsutil sec realm deleteコマンドを使用して、システム作成のレルムからオブジェクトを削除します。

システム作成のセキュリティ・レルムは、システム管理者がacfsutil sec admin destroyコマンドを使用して削除できません。これらのレルムは、acfsutil sec prepareコマンドを-uオプションを指定して実行する際に、セキュリティがファイルシステムで取り消されるときにのみ削除されます。

スナップショットがファイルシステムに存在する場合、acfsutil sec prepare –uコマンドを使用できません。

セキュリティ管理者のみがacfsutil sec prepareコマンドを実行できます。

例

次に、acfsutil sec prepareコマンドの使用例を示します。

例13-44 acfsutil sec prepareコマンドの使用方法

$ /sbin/acfsutil sec prepare -m /u01/app/acfsmounts/myacfs

acfsutil sec realm add

用途

Oracle ACFSセキュリティ・レルムにオブジェクトを追加します。

構文および説明

acfsutil sec realm add -h
acfsutil sec realm add realm -m mount_point
     { [-u user, ...] [-G os_group,...]
     [-l commandrule:ruleset,commandrule:ruleset,...]
     [-e [-a {AES}] [-k {128|192|256} ] ]
     [-f [ -r] path ...] }

acfsutil sec realm add -hは、ヘルプ・テキストを表示して終了します。

表13-51に、acfsutil sec realm addコマンドで使用可能なオプションを示します。

表13-51 acfsutil sec realm addコマンドのオプション

オプション	説明
realm	追加するレルム名を指定します。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-u user	追加するユーザー名を指定します。
-G os_group	追加するオペレーティング・システム・グループを指定します。
-l commandrule:ruleset	追加するフィルタを指定します。commandruleスイッチを使用して、ルール・セットを含むレルムに1つまたは複数のコマンド・ルールを追加します。 rulesetはこのレルム用にコマンド・ルールと関連付けられたルール・セットを指定します。各コマンド・ルールには1つのルール・セットしか含めることはできません。 コマンドルールのリストについては、表13-52を参照してください。コマンド・ルールのリストを表示するには、acfsutil sec infoと-cオプションを使用します。「acfsutil sec info」を参照してください。
-e	レルムで暗号化を有効にします。レルムに対して暗号化をオンにすると、レルムに含まれるすべてのファイルが暗号化されます。これらのファイルは暗号化されたレルムの一部でなくなるまで暗号化されたままです。 暗号化されたファイルは、新しく指定した暗号化パラメータと一致するように再暗号化されません。
-a {AES}	レルムの暗号化アルゴリズムを指定します。
-k { 128|192|256}	暗号化キー長を指定します。
-f [-r] path ...	pathで指定したファイルをレルムに追加します。-rは再帰的な操作を指定します。ファイル・パスは空白で区切ってコマンドの最後に置く必要があります。 指定したファイルがレルム保護されていない場合、ファイルはレルムの暗号化状態と一致するように暗号化または復号化されます。

acfsutil sec realm addコマンドは指定したレルムにオブジェクトを追加します。追加するオブジェクトは、ユーザー、グループ、コマンド・ルール、ルール・セットおよびファイルなどです。オブジェクトの追加時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。

ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

-eオプションを指定する場合、暗号化がクラスタに対して初期化され、ファイルシステムで設定されている必要があります。詳細は、「acfsutil encr init」および「acfsutil acfsutil encr set」を参照してください。

.Securityディレクトリを含むマウント・ポイント全体がレルムに追加される場合、セキュリティ管理者オペレーティング・システム・グループをレルムに追加し、セキュリティ・ログおよびバックアップ操作を管理する必要があります。

サポートしているコマンドをrules表13-52に一覧表示します。これらのコマンドルールで、レルム保護されたファイルおよびディレクトリ上のファイルシステム操作に対して制限または保護します。

表13-52 コマンドルール

ルール	説明
ALL	ファイルおよびディレクトリ上のすべてのファイルシステム操作を保護します。
APPENDFILE	ファイルの最後に追加することを制限します。制限には現在のファイルサイズ内で開始する書込みが含まれますが、ファイルの最後を越えて続行されます。
CHGRP	ファイルまたはディレクトリ上のグループ所有権の変更から保護します。
CHMOD	ファイルまたはディレクトリ上の権限の変更から保護します。
CHOWN	ファイルまたはディレクトリ上の所有権情報の変更から保護します。
CREATEFILE	ディレクトリ内の新しいファイルの作成から保護します。
DELETEFILE	ディレクトリのファイルの削除から保護します。
EXTEND	ファイルサイズの拡張操作を制限します。ファイルサイズは、別の操作で変更可能な場合があります。EXTENDは、append操作が続くtruncateからは保護しません。
IMMUTABLE	acfsutil tagおよびacfsutil encrなどのコマンドの結果としての拡張された属性への変更を除く、レルム内のファイルとディレクトリへの変更を拒否します。 ファイルまたはディレクトリに対するAPPENDFILE、CHGRP、CHMOD、CHOWN、DELETEFILE、EXTEND、OVERWRITE、RENAME、RMDIR、TRUNCATE、およびWRITEの保護を含みます。 IMMUTABLEは、atime属性への変更は拒否しません。atime属性は、ユーザーがファイルにアクセスしたときに変更されます。 ファイルとディレクトリをセキュリティ・レルムにアーカイブするために設定できます。
LINKFILE	ファイルへのハードリンクの作成を制限します。
MKDIR	ディレクトリ内で新しいディレクトリを作成することから保護します。
MMAPREAD	Linux上でmmap()を使用して、またはWindows上でCreateFileMappingの後にMapViewOfFile()を使用して、読取り操作のためにメモリーがマップされることからファイルを保護します。
MMAPWRITE	書込み操作のためにメモリーがマップされることからファイルを保護します。MMAPWRITEを設定しても、オペレーティング・システムがファイルを読取りと書込みの両方に対してマップするような読取りに対するマッピングからファイルを保護します。
OPENFILE	ファイルを開くことから保護します。
OVERWRITE	ファイル内の既存のコンテンツを、開始と終了のオフセットが現在のファイルサイズ内であるwrite操作による上書きから保護します。 ファイル上の操作でtruncateの後にappendが続く場合、OVERWRITEはファイルを保護しません。appendとoverwriteの両方の操作から追加の保護を提供するには、WRITEコマンド・ルールを使用します。
READDIR	セキュリティ管理者グループによる使用を除いて、ディレクトリのリストを制限します。
READ	ファイルのコンテンツの読取りから保護します。mmap(2)を使用するread操作から、READも同様に保護します。
RENAME	ファイルまたはディレクトリの名前変更から保護します。
RMDIR	ディレクトリの削除から保護します。
SYMLINK	セキュリティ・レルムによって保護されているディレクトリ内のシンボリック・リンクの作成を制限します。シンボリック・リンクを作成するときは、ソース・ファイルがセキュリティ・レルムによって保護されているかどうかは関係ありません。
TRUNCATE	ファイルの切捨てを制限します。
WRITE	writeシステム・コールからファイルを保護します。WRITEもappendおよびoverwriteの操作から保護します。またmmap(2)を使用するwrite操作からも保護します。 ファイルは、別の操作で変更可能な場合があります。ファイルをその他の変更から保護するには、TRUNCATEおよびDELETEFILEコマンド・ルールも使用します。

セキュリティ管理者のみがこのコマンドを実行できます。

例

例13-45に、acfsutil sec realm addコマンドの使用を示します。最初のacfsutil secコマンドがユーザー・グループをセキュリティ・レルムに追加します。Windows環境では、2番目と3番目のコマンドがLocalSystemまたはSYSTEMグループをSYSTEM_Antivirusレルムに追加します。

例13-45 acfsutil sec realm addコマンドの使用方法

$ /sbin/acfsutil sec realm add my_security_realm -m /u01/app/acfsmounts/myacfs 
     -G my_os_group

$ /sbin/acfsutil sec realm add SYSTEM_Antivirus /m e: /G "NT AUTHORITY\\SYSTEM"

$ /sbin/acfsutil sec realm add SYSTEM_Antivirus /m e: /G "SYSTEM"

acfsutil sec realm clone

用途

Oracle ACFSセキュリティ・レルムをクローン化します。

構文および説明

acfsutil sec realm clone -h
acfsutil sec realm clone realm -s src_mount_point new_realm
     [-e] [-f] [-G] [-l] [-u]
acfsutil sec realm clone realm -s src_mount_point
     [new_realm] -d destination_mount_point
     [-e] [-G] [-l] [-u]

acfsutil sec realm clone -hは、ヘルプ・テキストを表示して終了します。

表13-53に、acfsutil sec realm cloneコマンドで使用可能なオプションを示します。

表13-53 acfsutil sec realm cloneコマンドのオプション

オプション	説明
realm	クローン化するレルム名を指定します。
-s src_mount_point	ソース・ファイルシステムがマウントされるディレクトリを指定します。
new_realm	新しいレルム名を指定します。
-d destination_mount_point	新しいレルムの宛先マウント・ポイントのディレクトリを指定します。
-e	暗号化属性を新しいレルムにコピーします。
-f	ファイル・オブジェクトを新しいレルムにコピーします。
-G	オペレーティング・システム・グループを新しいレルムにコピーします。
-l	フィルタを新しいレルムにコピーします。
-u	ユーザーを新しいレルムにコピーします。

acfsutil sec realm cloneコマンドは指定したレルムのコピーを宛先マウント・ポイントに作成します。ソースとマウント・ポイントが異なり、新しいレルム名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のレルム名を使用してレルムがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたレルムはソース・マウント・ポイントに配置され、新しい一意のレルム名を指定する必要があります。

-lオプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、ルールおよびルール・セットが最初にクローン化される必要があります。

-eオプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、暗号化が宛先マウント・ポイントに設定される必要があります。詳細は、「acfsutil encr set」を参照してください。

-fオプションは宛先マウント・ポイントがソース・マウント・ポイントと同じである場合にのみ使用できます。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec realm cloneコマンドの使用例を示します。

例13-46 acfsutil sec realm cloneコマンドの使用方法

$ /sbin/acfsutil sec realm clone my_security_realm -s /u01/app/acfsmounts/myacfs
      my_new_security_realm -d /u02/app/acfsmounts/myacfs -G

acfsutil sec realm create

用途

Oracle ACFSセキュリティ・レルムを作成します。

構文および説明

acfsutil sec realm create -h
acfsutil sec realm create realm -m mount_point
     -e { on -a {AES} -k {128|192|256} | off }
     [-o {enable|disable}] [-d "description"]

acfsutil sec realm create -hは、ヘルプ・テキストを表示して終了します。

表13-54に、acfsutil sec realm createコマンドで使用可能なオプションを示します。

表13-54 acfsutil sec realm createコマンドのオプション

オプション	説明
realm	レルム名を指定します。
-m mount_point	ファイルシステムのマウント・ポイントを指定します。マウント・ポイントはLinux/Unix上のパスとして指定します。
-e {on|off}	レルムの暗号化をオンまたはオフに指定します。
-a {AES}	暗号化アルゴリズムを指定します。
-k { 128|192|256}	暗号化キー長を指定します。
-o {enable|disable}	レルムのセキュリティをオンまたはオフに指定します。
-d "description"	レルムの説明を指定します。

acfsutil sec create realmは指定したOracle ACFSファイルシステムに新しいレルムを作成します。新しいレルム名はマウント・ポイントで識別されるファイルシステムで一意の名前である必要があります。

acfsutil sec prepareコマンドによって作成されたデフォルトのシステム・レルムを含む最大500のOracle ACFSセキュリティ・レルムを作成できます。

-o disableオプションが指定されていないかぎり、デフォルトでレルムは有効です。

-e onオプションを指定する場合は、暗号化をクラスタに対して初期化し、ファイルシステムに設定する必要があります。詳細は、「acfsutil encr init」および「acfsutil acfsutil encr set」を参照してください。

-e offオプションを指定すると、-aおよび-kオプションは指定できません。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec realm createコマンドの使用例を示します。

例13-47 acfsutil sec realm createコマンドの使用方法

$ /sbin/acfsutil sec realm create my_security_realm -m /u01/app/acfsmounts/myacfs
     -e on -a AES -k 192 -o enable

acfsutil sec realm delete

用途

Oracle ACFSセキュリティ・レルムからオブジェクトを削除します。

構文および説明

acfsutil sec realm delete -h
acfsutil sec realm delete realm -m mount_point
     { [-u user, ...] [-G os_group,...]
     [-l commandrule:ruleset,commandrule:ruleset,...]
     [-f [ -r] path,...] ] [-e ] }

acfsutil sec realm delete -hは、ヘルプ・テキストを表示して終了します。

表13-55に、acfsutil sec realm deleteコマンドで使用可能なオプションを示します。

表13-55 acfsutil sec realm deleteコマンドのオプション

オプション	説明
realm	レルム名を指定します。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-u user	削除するユーザー名を指定します。
-G os_group	削除するオペレーティング・システム・グループを指定します。
-l commandrule:ruleset	レルムから削除するフィルタを指定します。コマンド・ルールのリストを表示するには、acfsutil sec infoと-cオプションを使用します。rulesetはこのレルム用にコマンド・ルールと関連付けられたルール・セットを指定します。
-f [-r] path ...	pathで指定したファイルをレルムから削除します。-rは再帰的な操作を指定します。ファイル・パスは空白で区切る必要があります。 これがファイルをセキュリティ保護している最後のレルムである場合、そのファイルはファイルシステム・レベルの暗号化状態と一致するように暗号化または復号化されます。
-e	レルムで暗号化を無効にします。 暗号化を無効にするときに、このオプションは他の暗号化されたレルムに属していない、レルム内のファイルを復号化します。ファイルが暗号化された他のレルムの一部であるか、またはファイルシステムで暗号化がオンになる場合、そのファイルは暗号化されたままです。

acfsutil sec realm deleteコマンドは指定したレルムからオブジェクトを削除します。削除するオブジェクトは、ユーザー、グループ、ルール・セットおよびファイルなどです。オブジェクトの削除時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。

ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec realm deleteコマンドの使用例を示します。

例13-48 acfsutil sec realm deleteコマンドの使用方法

$ /sbin/acfsutil sec realm delete my_security_realm -m /u01/app/acfsmounts/myacfs
     -f -r /u01/app/acfsmounts/myacfs/myoldfiles/*.log

acfsutil sec realm destroy

用途

Oracle ACFSセキュリティ・レルムを破棄します。

構文および説明

acfsutil sec realm destroy -h
acfsutil sec realm destroy realm -m mount_point

acfsutil sec realm destroy -hは、ヘルプ・テキストを表示して終了します。

表13-56に、acfsutil sec realm destroyコマンドで使用可能なオプションを示します。

表13-56 acfsutil sec realm destroyコマンドのオプション

オプション	説明
realm	レルム名を指定します。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。

acfsutil sec destroy realmは指定したOracle ACFSファイルシステムからセキュリティ・レルムを削除します。レルムを破棄してもレルム内のオブジェクトは破棄されません。このコマンドは、オブジェクトからレルムに関連しているセキュリティを削除するだけです。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec realm destroyコマンドの使用例を示します。

例13-49 acfsutil sec realm destroyコマンドの使用方法

$ /sbin/acfsutil sec realm destroy my_security_realm -m /u01/app/acfsmounts/myacfs

acfsutil sec rule clone

用途

セキュリティ・ルールをクローン化します。

構文および説明

acfsutil sec rule clone -h
acfsutil sec rule clone rule -s src_mount_point new_rule
acfsutil sec rule clone rule -s src_mount_point
     [new_rule] -d mount_point

acfsutil sec rule clone -hは、ヘルプ・テキストを表示して終了します。

表13-57に、acfsutil sec rule cloneコマンドで使用可能なオプションを示します。

表13-57 acfsutil sec rule cloneコマンドのオプション

オプション	説明
rule	ルールの既存の名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-s src_mount_point	ソース・ファイルシステムがマウントされるディレクトリを指定します。
-d mount_point	ファイルシステムの宛先マウント・ポイントのディレクトリを指定します。
new_rule	ルールの新しい名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

ソースとマウント・ポイントが異なり、新しいルール名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のルール名を使用してルールがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルールはソース・マウント・ポイントに配置され、新しい一意のルール名を指定する必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec rule cloneコマンドの使用例を示します。

例13-50 acfsutil sec rule cloneコマンドの使用方法

$ /sbin/acfsutil sec rule clone my_security_rule -s /u01/app/acfsmounts/myacfs
      my_new_security_rule -d /u02/app/acfsmounts/myacfs

acfsutil sec rule create

用途

セキュリティ・ルールを作成します。

構文および説明

acfsutil sec rule create -h
acfsutil sec rule create rule -m mount_point
     -t rule_type rule_value
     [-o {ALLOW|DENY}]

acfsutil sec rule create -hは、ヘルプ・テキストを表示して終了します。

表13-58に、acfsutil sec rule createコマンドで使用可能なオプションを示します。

表13-58 acfsutil sec rule createコマンドのオプション

オプション	説明
rule	ルールの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-t rule_type rule_value	ルールのタイプとルールの値を指定します。ルールのタイプには、application、hostname、timeまたはusernameを指定できます。ルールの値はルールのタイプによって異なります。有効なルールのタイプと値はこの項に記載されています。
-o オプション	-oを先頭に付けてオプションを指定します。指定できるオプションはALLOWまたはDENYです。デフォルト値はDENYです。

acfsutil sec rule createはマウント・ポイントで指定したOracle ACFSファイルシステムに新しいルールを作成します。新しいルールはルール・セットに追加でき、ルール・セットはセキュリティ・レルムに追加できます。

最大500のOracle ACFSセキュリティ・ルールを作成できます。

ルールのタイプと関連するルールの値には、次のものがあります。

• application

  このルールのタイプでは、レルムにより保護されたオブジェクトへのアクセスが許可または拒否されるアプリケーションの名前を指定します。

• hostname

  このルールのタイプでは、レルムにより保護されたオブジェクトへユーザーがアクセスする元のマシンの名前を指定します。このルールを使用してノードからのアクセスが許可または拒否されます。hostnameにはいずれかのクラスタ・ノード名を指定する必要があり、ネットワーク・ファイルシステム(NFS)マウントとしてOracle ACFSファイルシステムをマウントした他の外部ノードは指定できません。

• time

  このルールのタイプでは、start_time,end_time形式で時間間隔を指定します。この時間間隔でレルムへのアクセスを指定します。レルムにより保護されたオブジェクトへのアクセスは、レルム内のこのルール設定により、1日のうち特定の時間だけ許可または拒否されます。この時間はホストのローカル時間に基づきます。

• username

  このルールのタイプでは、レルムに追加またはレルムから削除するユーザー名を指定します。このオプションは、レルムの一部であるセキュリティ・グループに属する任意のユーザーのアクセスを拒否するのに使用できます。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec rule createコマンドの使用例を示します。

例13-51 acfsutil sec rule createコマンドの使用方法

$ /sbin/acfsutil sec rule create my_security_rule -m /u01/app/acfsmounts/myacfs
      -t username security_user_one -o ALLOW

acfsutil sec rule destroy

用途

セキュリティ・ルールを削除します。

構文および説明

acfsutil sec rule destroy -h
acfsutil sec rule destroy rule -m mount_point

acfsutil sec rule destroy -hは、ヘルプ・テキストを表示して終了します。

表13-59に、acfsutil sec rule destroyコマンドで使用可能なオプションを示します。

表13-59 acfsutil sec rule destroyコマンドのオプション

オプション	説明
rule	ルールの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。

acfsutil sec rule destroyはマウント・ポイントで指定したOracle ACFSファイルシステムのルール・セットからルールを削除します。すべてのルールが破棄されてもルール・セットは破棄されません。空のルール・セットは明示的に破棄する必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec rule destroyコマンドの使用例を示します。

例13-52 acfsutil sec rule destroyコマンドの使用方法

$ /sbin/acfsutil sec rule destroy my_security_rule -m /u01/app/acfsmounts/myacfs

acfsutil sec rule edit

用途

セキュリティ・ルールを更新します。

構文および説明

acfsutil sec rule edit -h
acfsutil sec rule edit rule -m mount_point
     { [-t rule_type rule_value ] [-o {ALLOW|DENY}] }

acfsutil sec rule edit -hは、ヘルプ・テキストを表示して終了します。

表13-60に、acfsutil sec rule editコマンドで使用可能なオプションを示します。

表13-60 acfsutil sec rule editコマンドのオプション

オプション	説明
rule	ルールの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-t rule_type rule_value	ルールのタイプとルールの値を指定します。ルールのタイプには、application、hostname、timeまたはusernameを指定できます。ルールの値はルールのタイプによって異なります。ルールのタイプとルールの値の詳細は、「acfsutil sec rule create」を参照してください。
-o オプション	-oを先頭に付けてオプションを指定します。指定できるオプションはALLOWまたはDENYです。

acfsutil sec rule editはルールを更新します。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec rule editコマンドの使用例を示します。

例13-53 acfsutil sec rule editコマンドの使用方法

$ /sbin/acfsutil sec rule edit my_security_rule -m /u01/app/acfsmounts/myacfs
      -t username security_user_three -o ALLOW

acfsutil sec ruleset clone

用途

セキュリティ・ルール・セットをクローン化します。

構文および説明

acfsutil sec ruleset clone -h
acfsutil sec ruleset clone ruleset -s mount_point new_ruleset
acfsutil sec ruleset clone ruleset -s mount_point
     [new_ruleset] -d mount_point

acfsutil sec ruleset clone -hは、ヘルプ・テキストを表示して終了します。

表13-61に、acfsutil sec ruleset cloneコマンドで使用可能なオプションを示します。

表13-61 acfsutil sec ruleset cloneコマンドのオプション

オプション	説明
rule_set	ルール・セットの既存の名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-s mount_point	ソース・ファイルシステムがマウントされるディレクトリを指定します。
-d mount_point	ファイルシステムの宛先マウント・ポイントのディレクトリを指定します。
new_rule_set	ルール・セットの新しい名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

ソース・マウント・ポイントが宛先マウント・ポイントと異なる場合、ルール・セット内のルールが最初にクローン化される必要があります。

ソースとマウント・ポイントが異なり、新しいルール・セット名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のルール・セット名を使用してルール・セットがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルール・セットはソース・マウント・ポイントに配置され、新しい一意のルール・セット名を指定する必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec ruleset cloneコマンドの使用例を示します。

例13-54 acfsutil sec ruleset cloneコマンドの使用方法

$ /sbin/acfsutil sec ruleset clone 
      my_security_ruleset -s /u01/app/acfsmounts/myacfs
      my_new_security_ruleset -d /u02/app/acfsmounts/myacfs

acfsutil sec ruleset create

用途

セキュリティ・ルール・セットを作成します。

構文および説明

acfsutil sec ruleset create -h
acfsutil sec ruleset create rule_set -m mount_point
     [-o {ALL_TRUE|ANY_TRUE}]

acfsutil sec ruleset create -hは、ヘルプ・テキストを表示して終了します。

表13-62に、acfsutil sec ruleset createコマンドで使用可能なオプションを示します。

表13-62 acfsutil sec ruleset createコマンドのオプション

オプション	説明
rule_set	ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-o オプション	-oを先頭に付けてオプションを指定します。指定できるオプションはALL_TRUEまたはANY_TRUEです。デフォルト値はALL_TRUEです。

acfsutil sec ruleset createは指定したマウント・ポイントに新しいルール・セットを作成します。

最大500のOracle ACFSセキュリティ・ルール・セットを作成できます。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec ruleset createコマンドの使用例を示します。

例13-55 acfsutil sec ruleset createコマンドの使用方法

$ /sbin/acfsutil sec ruleset create 
       my_security_ruleset -m /u01/app/acfsmounts/myacfs -o ANY_TRUE

acfsutil sec ruleset destroy

用途

セキュリティ・ルール・セットを削除します。

構文および説明

acfsutil sec ruleset destroy -h
acfsutil sec ruleset destroy rule_set -m mount_point

acfsutil sec ruleset destroy -hは、ヘルプ・テキストを表示して終了します。

表13-63に、acfsutil sec ruleset destroyコマンドで使用可能なオプションを示します。

表13-63 acfsutil sec ruleset destroyコマンドのオプション

オプション	説明
rule_set	ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。

acfsutil sec ruleset destroyはマウント・ポイントで指定したOracle ACFSファイルシステムからルール・セットを削除します。セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec ruleset destroyコマンドの使用例を示します。

例13-56 acfsutil sec ruleset destroyコマンドの使用方法

$ /sbin/acfsutil sec ruleset destroy 
       my_security_ruleset -m /u01/app/acfsmounts/myacfs

acfsutil sec ruleset edit

用途

セキュリティ・ルール・セットを更新します。

構文および説明

acfsutil sec ruleset edit -h
acfsutil sec ruleset edit rule_set -m mount_point
    { [-a rule,...] [-d rule,...] [-o {ALL_TRUE|ANY_TRUE}]}

acfsutil sec ruleset edit -hは、ヘルプ・テキストを表示して終了します。

表13-64に、acfsutil sec ruleset editコマンドで使用可能なオプションを示します。

表13-64 acfsutil sec ruleset editコマンドのオプション

オプション	説明
rule_set	ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-a rule	追加するルールを指定します。
-d rule	削除するルールを指定します。
-o オプション	-oを先頭に付けてオプションを指定します。指定できるオプションはALL_TRUEまたはANY_TRUEです。

acfsutil sec ruleset editはマウント・ポイントで指定したOracle ACFSファイルシステムのルール・セットを更新します。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec ruleset editコマンドの使用例を示します。

例13-57 acfsutil sec ruleset editコマンドの使用方法

$ /sbin/acfsutil sec ruleset edit 
       my_security_ruleset -m /u01/app/acfsmounts/myacfs 
       -a my_new_rule -o ANY_TRUE

acfsutil sec save

用途

Oracle ACFSファイルシステム・セキュリティ・メタデータを保存します。

構文および説明

acfsutil sec save -h
acfsutil sec save -m mount_point -p file

acfsutil sec save -hは、ヘルプ・テキストを表示して終了します。

表13-65に、acfsutil sec saveコマンドで使用可能なオプションを示します。

表13-65 acfsutil sec saveコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-p file	セキュリティ・メタデータを保存するファイル名を指定します。ファイルは/mount_point/.Security/backup/ディレクトリに保存されます。

acfsutil sec saveコマンドを実行してOracle ACFSファイルシステムのセキュリティ・メタデータをXMLファイルに保存します。デフォルトで、ファイルは/mount_point/.Security/backupディレクトリに保存されます。

このファイルはバックアップ・アプリケーションにより通常のファイルとしてバックアップできます。システム・レルムはこのファイルを保護し、そのレルムのメンバーだけがこのファイルにアクセスでき、rootユーザーやシステム管理者を含むその他のすべてのユーザーはアクセスできません。システム作成のセキュリティ・レルムの詳細は、「acfsutil sec prepare」を参照してください。

セキュリティ管理者のみがこのコマンドを実行できます。

例

次に、acfsutil sec saveコマンドの使用例を示します。

例13-58 acfsutil sec saveコマンドの使用方法

$ /sbin/acfsutil sec save -m /u01/app/acfsmounts/myacfs -p my_metadata_file.xml