目的
セキュリティ機能用にOracle ACFSファイルシステムを準備します。
構文および説明
acfsutil sec prepare -h
acfsutil sec prepare [-u] -m mount_point
acfsutil
sec
prepare
-h
は、ヘルプ・テキストを表示して終了します。
表16-58に、acfsutil
sec
prepare
コマンドで使用可能なオプションを示します。
表16-58 acfsutil sec prepareコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
指定したマウント・ポイントのセキュリティを取り消します。 このコマンドは、ファイルシステムからセキュリティを削除し、ファイルシステムで このコマンドはすべてのレルム保護されたファイルおよびディレクトリをレルムから削除し、すべてのOracle ACFSセキュリティ・ルール、ルール・セットおよびレルムをファイルシステムから破棄します。しかし、 使用中の暗号化およびセキュリティを削除する場合、このコマンドは暗号化を取り消してから実行する必要があります。暗号化を取り消すには、「acfsutil encr set」を参照してください。 |
レルム管理コマンドを実行する前に、acfsutil
sec
prepare
コマンドを実行する必要があります。このコマンドはセキュリティ用に指定したOracle ACFSファイルシステムを準備し、デフォルトでファイルシステムのセキュリティをオンにします。
acfsutil
sec
prepare
-u
を実行する際には、acfsutil
sec
prepare
が完了するまで、他のOracle ACFSセキュリティ・コマンドが実行されていないことを確認してください。
監査がクラスタで初期化された場合、このコマンドによって、ファイルシステム上のOracle ACFSセキュリティの監査ソースも有効化されます。この監査ソースを有効にしたときに実行されるアクションは、acfsutil
audit
enable
コマンドを直接実行したときに行われるアクションと同じです。詳細は、「acfsutil audit enable」を参照してください。
このコマンドは、/
mount_point
/.Security
、/
mount_point
/.Security/backup
および/
mount_point
/.Security/realm/logs
ディレクトリを作成します。ここで、mount_point
は、コマンドラインで指定するオプションです。
このコマンドでは次のシステム・セキュリティ・レルムを作成します。
SYSTEM_Logs
これはシステムが作成するレルムで.Security/realm/logs/
ディレクトリ内のOracle ACFSセキュリティ・ログ・ファイルを保護します。
SYSTEM_Audit
これはシステム生成のレルムで、監査証跡ファイルを保護します。このレルムは、監査が初期化された場合に作成されます。監査が初期化されない場合、acfsutil
audit
enable
コマンドによってセキュリティ・ソースに対して監査が有効化されたときに、作成されます。監査マネージャがファイルの読取りと書込みを、監査者がファイルの読取りを行うことができ、他にアクセス可能なユーザーがいないように、このレルムは監査証跡ファイルを保護します。また、このレルムは、監査マネージャがファイルの削除(acfsutil
audit
purge
コマンドを実行せずに)、切捨て、上書きまたは権限変更を行うことができないように、監査証跡ファイルを保護します。
SYSTEM_SecurityMetadata
これはシステム生成のレルムで.Security/realm/logs/
ディレクトリ内のOracle ACFSメタデータXMLファイルを保護します。
SYSTEM_Antivirus
これは、Oracle ACFSファイルシステム上で実行中のウィルス対策ソフトウェアにアクセスできる、システム作成のレルムです。すべてのレルム保護されたファイルまたはディレクトリについては、SYSTEM_Antivirus
レルムがファイルまたはディレクトリにアクセスできるかどうかを決定するために認可チェックが実行されるときに、SYSTEM_Antivirus
レルムが評価されます。
レルム保護されたファイルまたはディレクトリにアクセスするためにウィルス対策処理を許可するには、例16-52に示すように、acfsutil
sec
realm
add
コマンドでLocalSystem
またはSYSTEM
グループをレルムに追加する必要があります。その他のウィルス対策処理がAdministrator
として実行中の場合、Administrator
ユーザーはレルム保護されたファイルとディレクトリにアクセスできるようにSYSTEM_Antivirus
レルムに追加される必要があります。
ウィルス対策製品がインストールされていない場合、ユーザーまたはグループをSYSTEM_Antivirus
レルムに追加することはできません。SYSTEM_Antivirus
レルムに追加されたユーザーまたはグループにはREAD
とREADDIR
のアクセスがあるため、このレルムに追加されるユーザーまたはグループを制限します。このレルムのユーザーまたはグループがレルム保護されたファイルまたはディレクトリに時間ベースのルールでアクセスできるときに、時間ウィンドウを制限できます。ファイルをスキャンするウィルス対策インストールにプロセス名を特定できる場合、アプリケーションベースのルールも持つこともできます。
SYSTEM_Antivirus
レルムのみがファイルまたはディレクトリ上でOPEN
、READ
、READDIR
および時間属性の設定の操作を実行できます。ファイルまたはディレクトリを削除するために、セキュリティを無効化して影響を受けるファイルをクリーンアップする必要がある場合があります。
このレルムはWindowsシステムにのみ設定されます。
SYSTEM_BackupOperators
これはシステム生成のレルムで、レルム保護されたファイルおよびディレクトリをバックアップできるユーザーを認証できます。ユーザー・グループ、ルール・セットおよびコマンド・ルールをこのレルムに追加して、レルム保護されたファイルおよびディレクトリをバックアップするための密な認証を可能にします。レルム保護されたファイルおよびディレクトリをバックアップするには、ユーザーをこのレルムに追加する必要があります。
このシステム・レルムにグループを追加する場合は注意が必要です。このシステム・レルムにグループを追加すると、追加したグループのすべてのユーザーは、レルムの保護をオーバーライドしてファイルにアクセスできるようになります。
システム・セキュリティ・レルム内のファイルにアクセスするには、acfsutil
sec
admin
add
コマンドを使用して、セキュリティ管理者としてユーザーを割り当てる必要があります。
ユーザー作成のレルムと同様に、acfsutil
sec
realm
add
コマンドを使用して、ユーザー、グループ、ルール・セットおよびコマンド・ルールをシステム作成のレルムに追加できます。ただし、ファイルおよびディレクトリをシステム・レルムに追加することはお薦めしません。acfsutil
sec
realm
delete
コマンドを使用して、システム作成のレルムからオブジェクトを削除します。
システム作成のセキュリティ・レルムは、システム管理者がacfsutil
sec
admin
destroy
コマンドを使用して削除できません。これらのレルムは、acfsutil
sec
prepare
コマンドを-u
オプションを指定して実行する際に、セキュリティがファイルシステムで取り消されるときにのみ削除されます。
スナップショットがファイルシステムに存在する場合、acfsutil
sec
prepare
–u
コマンドを使用できません。
セキュリティ管理者のみがacfsutil
sec
prepare
コマンドを実行できます。
例
次に、acfsutil
sec
prepare
コマンドの使用例を示します。
例16-51 acfsutil sec prepareコマンドの使用方法
$ /sbin/acfsutil sec prepare -m /acfsmounts/acfs1