デバイス割り当ての管理

デバイス割り当てを使用して、さまざまなリムーバブルメディアに関連するセキュリティリスクを減らすことができます。

割り当て可能デバイスの追加 (作業マップ)

次の表は、新しい割り当て可能デバイスの定義に必要な、主な手順の一覧です。

割り当て可能デバイスのロックファイルの設定方法

ロックファイルとは、 /etc/security/dev ディレクトリに作成されるサイズ 0 のファイルです。割り当て可能デバイスごとに 1 つのファイルが作成されます。割り当て可能デバイスのロックファイルがない場合は、そのデバイスを割り当てることができず、誰もアクセスできません。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. dminfo コマンドを使用して、 device_maps ファイルのエントリからそのデバイスのデバイス名を取得します。

   device_maps ファイル と、dminfo(1M) および device_maps(4) のマニュアルページを参照してください。たとえば、デバイスタイプ st のデバイス名は st0 です。次の手順では、そのデバイス名をロックファイル名として使用します。

3. touch コマンドを使用して、そのデバイスの空のロックファイルを作成します。

   ファイル名としてデバイス名を使用します。device-name に代入してください。

   # cd /etc/security/dev # touch device-name # chmod 600 device-name # chown bin device-name # chgrp bin device-name

割り当て可能デバイスの変更方法

次の手順では、デバイス割り当てメカニズムに使用できるデバイスを定義します。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. /etc/security/device_allocate ファイルに一覧されているデバイスを確認します。

3. device_allocate ファイルには指定されていないデバイスのうち、割り当て可能にするデバイスを決定します。

4. device_allocate ファイルを編集して新しいデバイスを追加します。

   各エントリの書式は次のとおりです。

   device-name;device-type;;;;program

   device-name	デバイス名を指定する
   device-type	デバイスタイプを指定する
   program	実行するパージプログラムを指定する

デバイスを割り当てる方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. デバイス名を指定して allocate コマンドを使用します。

sar1% allocate st0

allocate コマンドの - g オプションを使用して、デバイスタイプでデバイスを割り当てることもできます。

コマンドでデバイスを割り当てられない場合は、コンソールウィンドウにエラーメッセージが表示されます。割り当てのエラーメッセージについては、allocate(1) のマニュアルページを参照してください。

例 — プリンタを割り当てる

sarl% allocate /dev/lp/chestnut

allocate コマンドを実行したユーザーだけがプリンタを使用できます。

デバイスの割り当てを解除する方法

deallocate コマンドに続けてデバイスファイル名を使用し、デバイスの割り当てを解除します。

sar1% deallocate st0

割り当てを解除すると、ほかのユーザーもユーザーの使用後にそのデバイスを割り当てて使用できるようになります。

例 — プリンタの割り当てを解除する

chestnut という名前のプリンタの割り当てを解除するには、次のコマンドを入力します。

# deallocate /dev/lp/chestnut

例 — 強制的に割り当てを解除する

ユーザーに割り当てられたデバイスは、プロセスが終了するとき、またはそのユーザーがログアウトするときに、自動的にその割り当てが解除されます。次の書式の deallocate コマンドは、通常、ユーザーが特定のデバイスの割り当てを解除し忘れなかったときに使用します。割り当てが強制的に解除され、ほかのユーザーはそのデバイスを割り当てることができます。

# deallocate -F st0

例 — すべてのデバイスの割り当てを解除する

すべてのデバイスの割り当てを解除できるのは、システムを初期化しているときだけです。

# deallocate -I