ZFS ファイルシステムでは、セキュリティー関連ファイルに特別な取り扱いのためのマークを付けることができます。ファイル属性は、ローカルファイル、NFS でマウントされたファイル、または CIFS でマウントされたファイルに影響を与えることができます。chmod(1) および ls(1) のマニュアルページでは、ファイル属性を設定および一覧表示する方法が説明されています。
セキュリティーに影響するファイル属性としては次のものがあります。
appendonly 属性 – ファイルの末尾への追加は許可しますが、既存の内容の変更は防止します。この属性をログファイル上に設定すると、ログファイルエントリの変更を防ぐことができます。この属性を設定するにはプロセスに PRIV_FILE_FLAG_SET 特権が必要であり、削除するにはすべての特権が必要です。
immutable 属性 – ファイルの内容の変更または削除を防止します。アクセス時間の更新を除く、ファイルメタデータの変更も防ぎます。ディレクトリ上に設定された場合、この属性はディレクトリとそのファイルの削除を防止します。この属性を設定するにはプロセスに PRIV_FILE_FLAG_SET 特権が必要であり、削除するにはすべての特権が必要です。
例については、Oracle Solaris 11.3 での ZFS ファイルシステムの管理 の不変性を ZFS ファイルに適用するを参照してください。
nounlink 属性 – 重要なファイルまたはディレクトリの削除を防止します。ディレクトリ上に設定された場合、この属性はファイルの削除または名前の変更を防止します。この属性を使用すると、アプリケーションの重要なファイルが誤って削除されないようにできます。この属性を設定するにはプロセスに PRIV_FILE_FLAG_SET 特権が必要であり、削除するにはすべての特権が必要です。
sensitive 属性 – ファイルに PIN やパスワードなどの鍵情報が含まれていることを示します。機密ファイルは、監査レコードに書き込まれません。
readonly 属性 – CIFS でマウントされたファイルの内容の変更を禁止します。ファイルの所有者はこの属性を設定またはクリアでき、write_attributes アクセス権を持つユーザーまたはグループはこの属性を設定またはクリアできます。
詳細は、Oracle Solaris 11.3 での ZFS ファイルシステムの管理 の第 9 章ACL および属性を使用した Oracle Solaris ZFS ファイルの保護を参照してください。