アクセスが公開されているファイルに公開オブジェクトビットを設定する方法
公開オブジェクトビットを設定すると、ファイルまたはディレクトリに対して成功したアクセスが監査レコードに含まれる場合、監査トレールのサイズを小さくすることができます。ファイルの公開オブジェクトビットが設定されていると、成功したアクセスの表示、一覧あるいはアクセスするファイルまたはディレクトリの属性の一覧表示が、監査レコードに書き込まれることはありません。
ラベル admin_low でセキュリティ管理者になって、setfattrflag(1) コマンドに -p 1 オプションを付けて実行し、アクセスが公開されているファイルのローカルディレクトリに公開オブジェクトビットを設定します。
次のコマンドは、/etc ディレクトリに公開オブジェクトビットを設定します。/etc ディレクトリの検索、/etc ディレクトリのファイルの読み取り処理では、監査レコードは生成されません。
$ setfattrflag -p 1 /etc
$ getfattrflag /etc
Multilevel directory: no
Single level directory: no
Public object: yes
|
ラベル admin_low でセキュリティ管理者になって、attr_flag セキュリティ属性によって、公共アクセスが可能なファイルのマウント済みファイルシステムに公開オブジェクトビットを設定します。
たとえば、マウント済みファイルシステム /spublic の vfstab_adjunct(4) ファイルは、そのファイルシステムのすべてのファイルに公開オブジェクトフラグを設定します。
# Modified template. # /spublic; ¥ acc_acl=; ¥ mode=; ¥ attr_flag=public; ¥ gid=; ¥ uid=; ¥ slabel=; ¥ forced=; ¥ allowed=; ¥ low_range=; ¥ hi_range=; ¥ mld_prefix=mldroot; #
詳細は、mount(1M) のマニュアルページや、『Trusted Solaris 管理の手順』の「ファイルおよびファイルシステムの管理」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates