コマンド行からファイルのセキュリティ属性を変更する

この節では、ファイルのセキュリティ属性の取得と設定に使用するコマンドについて説明します。

• getfattrflag と setfattrflag

• getfpriv と setfpriv

• getlabel と setlabel

• testfpriv

getfattrflag と setfattrflag

getfattrflag(1) コマンドとsetfattrflag(1) コマンドでは、ファイル名を指定して、そのセキュリティ属性フラグを取得、設定することができます。セキュリティ属性フラグ情報を読み取れるのは、ユーザーがそのファイルのパスにある全ディレクトリに対して、検索権を持っている場合だけです。また、ファイルの必須読み取り権も必要です。

setfattrflag(1) コマンドを使用すると、ディレクトリをマルチレベルに設定したり、ディレクトリ名を公開オブジェクトに設定することができます。そのディレクトリやファイルの所有者でない場合は、FILE_OWNER 特権がないと公開属性フラグを変更することができません。

getfattrflag(1) コマンドを使用すると、指定したファイルやディレクトリのセキュリティ属性を確認することができます。

次の例では、もともと専有ファイルである myFile というファイルを、setfattrflag(1) コマンドで公開ファイルに変換しています。

% getfattrflag myFile
myFile: not a public object

% setfattrflag -p 1 myFile

% getfattrflag myFile
myFile: is a public object

getfpriv と setfpriv

getfpriv(1) コマンドとsetfpriv(1) コマンドでは、ファイルの特権 (強制された特権と許容された特権の両方) を取得、設定することができます。次の例では、myFile というファイルの現在の特権を取得した後、そのファイルに file_mac_read 特権を設定しています。

% getfpriv myFile
myFile FORCED: none ALLOWED: all

% setfpriv -s -f file_mac_read myFile

% getfpriv myFile
myFile FORCED: file_mac_read ALLOWED: all

getlabel と setlabel

getlabel(1) コマンドとsetlabel(1) コマンドでは、ファイルの機密ラベルを取得、設定することができます。

次の例では、myFile というファイルの初期の機密ラベルを取得し、再設定しています。

% getlabel myFile
myFile: ADMIN_LOW [C]

% setlabel -s SECRET myFile

% getlabel myFile
myFile: CONFIDENTIAL [S]

testfpriv

testfpriv(1) コマンドでは、ファイルに対応付けられた特権セットの確認や評価を行います。基本的には、特権の種類 (強制された特権または許容された特権)とファイルを指定すると、その特権がファイルの特権セットに含まれているかどうかが示されます。ファイルへの MAC 読み取りアクセス権が必要です。