この節では、調整ファイルや別名ファイルなどの ASET ファイルの例を示します。
ASET は 3 つの調整ファイルを管理します。調整ファイル内の各エントリは 1 行に入っています。エントリ内のフィールドの順序は次のとおりです。
pathname mode owner group type |
ファイルのフルパス名
アクセス権の設定を表す 5 桁の数値
ファイルの所有者
ファイルのグループ
ファイルの形式
アスタリスク (*) や疑問符 (?) などの標準シェルワイルドカード文字をパス名に使用することにより、複数のファイルを参照できます。詳細は、sh(1) のマニュアルページを参照してください。
mode は、もっとも制限が緩やかな値を表します。現在の設定が指定した値よりもすでに厳しく制限されている場合、ASET はアクセス権の設定を緩和しません。たとえば、指定した値が 00777 の場合、00777 は常に現在の設定よりも緩やかな制限を表すため、アクセス権は変更されません。
このプロセスは、ASET がモード設定をどのように処理するかというものです。セキュリティーレベルのレベルが低いものに変更されるか、あるいは管理者が ASET を削除する場合は、別のプロセスとなります。セキュリティーレベルを前回の実行時よりも下げるときや、ASET が最初に実行される前の状態のシステムファイルを復元するときには、ASET は操作の内容を認識して保護レベルを下げます。
owner と group には、数値 ID ではなく名前を使用する必要があります。
owner、group、type の代わりに疑問符 (?) を使用すると、ASET がこれらのパラメータの既存の値を変更しないようにします。
type には、symlink (シンボリックリンク)、ディレクトリ、またはファイルを指定できます。
セキュリティーレベルが高くなるほど、調整ファイルは下位レベルよりも緩やかなファイルアクセス権にリセットされます。また、上位セキュリティーレベルになるほど、一覧に多数のファイルが追加されます。
1 つのファイルで複数の調整ファイルエントリを照合できます。たとえば、etc/passwd は etc/pass* エントリと /etc/* エントリに一致します。
2 つのエントリのアクセス権が異なる場合は、ファイルアクセス権はもっとも厳しいアクセス権を表す値に設定されます。次の例では、/etc/passwd ファイルのアクセス権は 00755 に設定されますが、これは 00755 は 00770 よりも厳密な制限であることを表します。
/etc/pass* 00755 ? ? file /etc/* 00770 ? ? file |
2 つのエントリの owner 指定または group 指定が異なる場合は、最後のエントリが優先されます。次の例では、/usr/sbin/chroot の所有者が root に設定されます。
/usr/sbin/chroot 00555 bin bin file /usr/sbin/chroot 00555 root bin file |
別名ファイルには、同じユーザー ID を共有する別名の一覧が含まれています。
各エントリの書式は次のとおりです。
uid=alias1 =alias2=alias3 =...
共有 UID。
UID を共有するユーザーアカウント。
たとえば、次のエントリでは UID 0を一覧表示しています。この UID は、sysadm および root アカウントによって共有されています。
0=root=sysadm