コマンドに「強制された特権」を付与する

セキュリティ管理者役割は、コマンドの実行可能ファイルに「強制された特権」を割り当てることができます。特権の割り当ては、ファイルマネージャ の「特権 (Privileges)」ダイアログボックスを使用するか、プロファイルシェルに setfpriv(1) コマンドを入力することによって行います。この方法については、「コマンドに強制された特権を付与するには」を参照してください。

「強制された特権」を持つコマンドと実行する場合、「強制された特権」は、実行プログラムの「有効セット」に組み込まれます。特権を持つコマンドの実行を禁止する唯一の方法は、コマンドへのアクセスを制御することです。プロファイルシェルをアカウントのデフォルトシェルとして、そのアカウントのプロファイルにコマンドやその他のシェルを一切割り当てないようにします。

実行可能ファイルの特権を変更するには、プロセスの機密ラベルによって、ファイルへの MAC 書き込みアクセスが許可されていなくてはなりません (DAC 書き込み許可は必要ありません)。ファイルの「強制セット」と「許容セット」を変更できるのは、同じかそれより低い機密ラベルの所有者 (write-equal または write-up) か、ADMIN_LOW ワークスペースの (デフォルトシステムに設定) セキュリティ管理者役割 (write-up) だけです。

つまり、ファイルの「強制セット」と「許容セット」を変更できるのは、次のユーザーまたはプロセスに限られます。

• ファイルの所有者

• file_setpriv 特権を持つプロセス

• 「ファイルの特権を設定」承認を持つアカウント

  setfpriv(1) マニュアルページも参照してください。

  ---

  注 -

  ファイルマネージャの「特権 (Privileges)」ダイアログボックスで「強制された特権」を割り当てると、同じ内容の「許容セット」も自動的に割り当てられます。ただし、「強制された特権」がファイルの許容セット内にある場合か、同じコマンド行で「許容セット」と「強制セット」を適切に設定した場合を除いて、setfpriv コマンドによる「強制された特権」の設定は行えません。

  ---