acfsutil sec realm add

目的

Oracle ACFSセキュリティ・レルムにオブジェクトを追加します。

構文および説明

acfsutil sec realm add -h
acfsutil sec realm add realm -m mount_point 
     {[-u user, ...] [-G os_group,...]
     [-l commandrule:ruleset,commandrule:ruleset, ...]
     [-e [-a {AES}] [-k {128|192|256}]]
   [-f [ -r] path ...]}

acfsutil sec realm add -hは、ヘルプ・テキストを表示して終了します。

表16-59に、acfsutil sec realm addコマンドで使用可能なオプションを示します。

表16-59 acfsutil sec realm addコマンドのオプション

オプション	説明
realm	追加するレルム名を指定します。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-u user	追加するユーザー名を指定します。
-G os_group	追加するオペレーティング・システム・グループを指定します。
-l commandrule:ruleset	追加するフィルタを指定します。commandruleスイッチを使用して、ルール・セットを含むレルムに1つまたは複数のコマンド・ルールを追加します。 rulesetはこのレルム用にコマンド・ルールと関連付けられたルール・セットを指定します。各コマンド・ルールには1つのルール・セットしか含めることはできません。 コマンドルールのリストについては、表16-60を参照してください。コマンド・ルールのリストを表示するには、acfsutil sec infoと-cオプションを使用します。「acfsutil sec info」を参照してください。
-e	レルムで暗号化を有効にします。レルムに対して暗号化をオンにすると、レルムに含まれるすべてのファイルが暗号化されます。これらのファイルは暗号化されたレルムの一部でなくなるまで暗号化されたままです。 暗号化されたファイルは、新しく指定した暗号化パラメータと一致するように再暗号化されません。
-a {AES}	レルムの暗号化アルゴリズムを指定します。
-k { 128|192|256}	暗号化キー長を指定します。
-f [-r] path ...	pathで指定したファイルをレルムに追加します。-rは再帰的な操作を指定します。ファイル・パスは空白で区切ってコマンドの最後に置く必要があります。 指定したファイルがレルム保護されていない場合、ファイルはレルムの暗号化状態と一致するように暗号化または復号化されます。

acfsutil sec realm addコマンドは指定したレルムにオブジェクトを追加します。追加するオブジェクトは、ユーザー、グループ、コマンド・ルール、ルール・セットおよびファイルなどです。オブジェクトの追加時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。

ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

-eオプションを指定する場合、暗号化がクラスタに対して初期化され、ファイルシステムで設定されている必要があります。詳細は、「acfsutil encr init」および「acfsutil encr set」を参照してください。

.Securityディレクトリを含むマウント・ポイント全体がレルムに追加される場合、セキュリティ管理者オペレーティング・システム・グループをレルムに追加し、セキュリティ・ログおよびバックアップ操作を管理する必要があります。

サポートしているコマンド・ルールを表16-60に一覧表示します。これらのコマンドルールで、レルム保護されたファイルおよびディレクトリ上のファイルシステム操作に対して制限または保護します。

表16-60 コマンド・ルール

ルール	説明
ALL	ファイルおよびディレクトリ上のすべてのファイルシステム操作を保護します。
APPENDFILE	ファイルの最後に追加することを制限します。制限には現在のファイルサイズ内で開始する書込みが含まれますが、ファイルの最後を越えて続行されます。
CHGRP	ファイルまたはディレクトリ上のグループ所有権の変更から保護します。
CHMOD	ファイルまたはディレクトリ上の権限の変更から保護します。
CHOWN	ファイルまたはディレクトリ上の所有権情報の変更から保護します。
CREATEFILE	ディレクトリ内の新しいファイルの作成から保護します。
DELETEFILE	ディレクトリのファイルの削除から保護します。
EXTEND	ファイルサイズの拡張操作を制限します。ファイルサイズは、別の操作で変更可能な場合があります。EXTENDは、append操作が続くtruncateからは保護しません。
IMMUTABLE	acfsutil tagおよびacfsutil encrなどのコマンドの結果として生じる、拡張された属性への変更を除く、レルム内のファイルとディレクトリへの変更を拒否します。 ファイルまたはディレクトリに対するAPPENDFILE、CHGRP、CHMOD、CHOWN、DELETEFILE、EXTEND、OVERWRITE、RENAME、RMDIR、TRUNCATE、およびWRITEの保護を含みます。 IMMUTABLEは、atime属性への変更は拒否しません。atime属性は、ユーザーがファイルにアクセスしたときに変更されます。 ファイルとディレクトリをセキュリティ・レルムにアーカイブするために設定できます。
LINKFILE	ファイルへのハードリンクの作成を制限します。
MKDIR	ディレクトリ内で新しいディレクトリを作成することから保護します。
MMAPREAD	Linux上でmmap()を使用して、またはWindows上でCreateFileMappingの後にMapViewOfFile()を使用して、読取り操作のためにメモリーがマップされることからファイルを保護します。
MMAPWRITE	書込み操作のためにメモリーがマップされることからファイルを保護します。MMAPWRITEを設定しても、オペレーティング・システムがファイルを読取りと書込みの両方に対してマップするような読取りに対するマッピングからファイルを保護します。
OPENFILE	ファイルを開くことから保護します。
OVERWRITE	ファイル内の既存のコンテンツを、開始と終了のオフセットが現在のファイルサイズ内であるwrite操作による上書きから保護します。 ファイル上の操作でtruncateの後にappendが続く場合、OVERWRITEはファイルを保護しません。appendとoverwriteの両方の操作から追加の保護を提供するには、WRITEコマンド・ルールを使用します。
READDIR	セキュリティ管理者グループによる使用を除いて、ディレクトリのリストを制限します。
READ	ファイルのコンテンツの読取りから保護します。mmap(2)を使用するread操作から、READも同様に保護します。
RENAME	ファイルまたはディレクトリの名前変更から保護します。
RMDIR	ディレクトリの削除から保護します。
SYMLINK	セキュリティ・レルムによって保護されているディレクトリ内のシンボリック・リンクの作成を制限します。シンボリック・リンクを作成するときは、ソース・ファイルがセキュリティ・レルムによって保護されているかどうかは関係ありません。
TRUNCATE	ファイルの切捨てを制限します。
WRITE	writeシステム・コールからファイルを保護します。WRITEもappendおよびoverwriteの操作から保護します。またmmap(2)を使用するwrite操作からも保護します。 ファイルは、別の操作で変更可能な場合があります。ファイルをその他の変更から保護するには、TRUNCATEおよびDELETEFILEコマンド・ルールも使用します。

セキュリティ管理者のみがこのコマンドを実行できます。

例

例16-52に、acfsutil sec realm addコマンドの使用を示します。最初のacfsutil secコマンドがユーザー・グループをセキュリティ・レルムに追加します。Windows環境では、2番目と3番目のコマンドがLocalSystemまたはSYSTEMグループをSYSTEM_Antivirusレルムに追加します。

例16-52 acfsutil sec realm addコマンドの使用方法

$ /sbin/acfsutil sec realm add my_security_realm -m /acfsmounts/acfs1 
     -G my_os_group

C:\> acfsutil sec realm add SYSTEM_Antivirus /m e: /G "NT AUTHORITY\\SYSTEM"

C:\> acfsutil sec realm add SYSTEM_Antivirus /m e: /G "SYSTEM"