| Oracle® Automatic Storage Management管理者ガイド 12cリリース1 (12.1) B71290-10 |
|
 前 |
 次 |
目的
セキュリティ機能用にOracle ACFSファイルシステムを準備します。
構文および説明
acfsutil sec prepare -h
acfsutil sec prepare [-u] -m mount_point
acfsutil sec prepare -hは、ヘルプ・テキストを表示して終了します。
表16-58に、acfsutil sec prepareコマンドで使用可能なオプションを示します。
表16-58 acfsutil sec prepareコマンドのオプション
| オプション | 説明 |
|---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
指定したマウント・ポイントのセキュリティを取り消します。 このコマンドは、ファイルシステムからセキュリティを削除し、ファイルシステムで このコマンドはすべてのレルム保護されたファイルおよびディレクトリをレルムから削除し、すべてのOracle ACFSセキュリティ・ルール、ルール・セットおよびレルムをファイルシステムから破棄します。しかし、 使用中の暗号化およびセキュリティを削除する場合、このコマンドは暗号化を取り消してから実行する必要があります。暗号化を取り消すには、「acfsutil encr set」を参照してください。 |
レルム管理コマンドを実行する前に、acfsutil sec prepareコマンドを実行する必要があります。このコマンドはセキュリティ用に指定したOracle ACFSファイルシステムを準備し、デフォルトでファイルシステムのセキュリティをオンにします。
acfsutil sec prepare -uを実行する際には、acfsutil sec prepareが完了するまで、他のOracle ACFSセキュリティ・コマンドが実行されていないことを確認してください。
監査がクラスタで初期化された場合、このコマンドによって、ファイルシステム上のOracle ACFSセキュリティの監査ソースも有効化されます。この監査ソースを有効にしたときに実行されるアクションは、acfsutil audit enableコマンドを直接実行したときに行われるアクションと同じです。詳細は、「acfsutil audit enable」を参照してください。
このコマンドは、/mount_point/.Security、/mount_point/.Security/backupおよび/mount_point/.Security/realm/logsディレクトリを作成します。ここで、mount_pointは、コマンドラインで指定するオプションです。
このコマンドでは次のシステム・セキュリティ・レルムを作成します。
SYSTEM_Logs
これはシステムが作成するレルムで.Security/realm/logs/ディレクトリ内のOracle ACFSセキュリティ・ログ・ファイルを保護します。
SYSTEM_Audit
これはシステム生成のレルムで、監査証跡ファイルを保護します。このレルムは、監査が初期化された場合に作成されます。監査が初期化されない場合、acfsutil audit enableコマンドによってセキュリティ・ソースに対して監査が有効化されたときに、作成されます。監査マネージャがファイルの読取りと書込みを、監査者がファイルの読取りを行うことができ、他にアクセス可能なユーザーがいないように、このレルムは監査証跡ファイルを保護します。また、このレルムは、監査マネージャがファイルの削除(acfsutil audit purgeコマンドを実行せずに)、切捨て、上書きまたは権限変更を行うことができないように、監査証跡ファイルを保護します。
SYSTEM_SecurityMetadata
これはシステム生成のレルムで.Security/realm/logs/ディレクトリ内のOracle ACFSメタデータXMLファイルを保護します。
SYSTEM_Antivirus
これは、Oracle ACFSファイルシステム上で実行中のウィルス対策ソフトウェアにアクセスできる、システム作成のレルムです。すべてのレルム保護されたファイルまたはディレクトリについては、SYSTEM_Antivirusレルムがファイルまたはディレクトリにアクセスできるかどうかを決定するために認可チェックが実行されるときに、SYSTEM_Antivirusレルムが評価されます。
レルム保護されたファイルまたはディレクトリにアクセスするためにウィルス対策処理を許可するには、例16-52に示すように、acfsutil sec realm addコマンドでLocalSystemまたはSYSTEMグループをレルムに追加する必要があります。その他のウィルス対策処理がAdministratorとして実行中の場合、Administratorユーザーはレルム保護されたファイルとディレクトリにアクセスできるようにSYSTEM_Antivirusレルムに追加される必要があります。
ウィルス対策製品がインストールされていない場合、ユーザーまたはグループをSYSTEM_Antivirusレルムに追加することはできません。SYSTEM_Antivirusレルムに追加されたユーザーまたはグループにはREADとREADDIRのアクセスがあるため、このレルムに追加されるユーザーまたはグループを制限します。このレルムのユーザーまたはグループがレルム保護されたファイルまたはディレクトリに時間ベースのルールでアクセスできるときに、時間ウィンドウを制限できます。ファイルをスキャンするウィルス対策インストールにプロセス名を特定できる場合、アプリケーションベースのルールも持つこともできます。
SYSTEM_Antivirusレルムのみがファイルまたはディレクトリ上でOPEN、READ、READDIRおよび時間属性の設定の操作を実行できます。ファイルまたはディレクトリを削除するために、セキュリティを無効化して影響を受けるファイルをクリーンアップする必要がある場合があります。
このレルムはWindowsシステムにのみ設定されます。
SYSTEM_BackupOperators
これはシステム生成のレルムで、レルム保護されたファイルおよびディレクトリをバックアップできるユーザーを認証できます。ユーザー・グループ、ルール・セットおよびコマンド・ルールをこのレルムに追加して、レルム保護されたファイルおよびディレクトリをバックアップするための密な認証を可能にします。レルム保護されたファイルおよびディレクトリをバックアップするには、ユーザーをこのレルムに追加する必要があります。
このシステム・レルムにグループを追加する場合は注意が必要です。このシステム・レルムにグループを追加すると、追加したグループのすべてのユーザーは、レルムの保護をオーバーライドしてファイルにアクセスできるようになります。
システム・セキュリティ・レルム内のファイルにアクセスするには、acfsutil sec admin addコマンドを使用して、セキュリティ管理者としてユーザーを割り当てる必要があります。
ユーザー作成のレルムと同様に、acfsutil sec realm addコマンドを使用して、ユーザー、グループ、ルール・セットおよびコマンド・ルールをシステム作成のレルムに追加できます。ただし、ファイルおよびディレクトリをシステム・レルムに追加することはお薦めしません。acfsutil sec realm deleteコマンドを使用して、システム作成のレルムからオブジェクトを削除します。
システム作成のセキュリティ・レルムは、システム管理者がacfsutil sec admin destroyコマンドを使用して削除できません。これらのレルムは、acfsutil sec prepareコマンドを-uオプションを指定して実行する際に、セキュリティがファイルシステムで取り消されるときにのみ削除されます。
スナップショットがファイルシステムに存在する場合、acfsutil sec prepare –uコマンドを使用できません。
セキュリティ管理者のみがacfsutil sec prepareコマンドを実行できます。
例
次に、acfsutil sec prepareコマンドの使用例を示します。
例16-51 acfsutil sec prepareコマンドの使用方法
$ /sbin/acfsutil sec prepare -m /acfsmounts/acfs1
