セキュリティ用のOracle ACFSコマンドライン・ツール

このトピックでは、Oracle ACFSセキュリティ用コマンドの概要を示します。

表16-50に、Oracle ACFSセキュリティ・コマンドと簡単な説明を示します。Oracle ACFSセキュリティの概要は、「Oracle ACFSセキュリティ」を参照してください。

Oracle ACFS acfsutilコマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」を参照してください。

表16-50 Oracle ACFSセキュリティ用のコマンドの概要

コマンド 説明

acfsutil sec admin add

セキュリティ管理者を追加します。

acfsutil sec admin info

Oracle ACFSセキュリティ管理者をリストします。

acfsutil sec admin password

セキュリティ管理者のパスワードを変更します。

acfsutil sec admin remove

セキュリティ管理者を削除します。

acfsutil sec batch

バッチ・ファイルを実行します。

acfsutil sec disable

Oracle ACFSセキュリティを無効にします。

acfsutil sec enable

Oracle ACFSセキュリティを有効にします。

acfsutil sec info

Oracle ACFSファイルシステム・セキュリティ情報を表示します。

acfsutil sec info file

指定したファイルまたはディレクトリが属するセキュリティ・レルムをリストします。

acfsutil sec init

Oracle ACFSファイルシステム・セキュリティを初期化します。

acfsutil sec load

Oracle ACFSファイルシステム・セキュリティ・メタデータをロードします。

acfsutil sec prepare

セキュリティ用にOracle ACFSファイルシステムを準備します。

acfsutil sec realm add

Oracle ACFSファイルシステム・セキュリティ・レルムにオブジェクトを追加します。

acfsutil sec realm audit disable

Oracle ACFSセキュリティ・レルム内のファイルに対するコマンド・ルールの監査を無効にします。

acfsutil sec realm audit enable

Oracle ACFSセキュリティ・レルム内のファイルに対するコマンド・ルールの監査を有効にします。

acfsutil sec realm audit info

指定したOracle ACFSセキュリティ・レルムのレルム監査情報を表示します。

acfsutil sec realm clone

Oracle ACFSファイルシステム・セキュリティ・レルムをクローン化します。

acfsutil sec realm create

Oracle ACFSファイルシステム・セキュリティ・レルムを作成します。

acfsutil sec realm delete

Oracle ACFSファイルシステム・セキュリティ・レルムからオブジェクトを削除します。

acfsutil sec realm destroy

Oracle ACFSファイルシステム・セキュリティ・レルムを削除します。

acfsutil sec rule clone

Oracle ACFSファイルシステム・セキュリティ・ルールをクローン化します。

acfsutil sec rule create

Oracle ACFSファイルシステム・セキュリティ・ルールを作成します。

acfsutil sec rule destroy

Oracle ACFSファイルシステム・セキュリティ・ルールを削除します。

acfsutil sec rule edit

Oracle ACFSファイルシステム・セキュリティ・ルールを更新します。

acfsutil sec ruleset clone

Oracle ACFSファイルシステム・セキュリティ・ルール・セットをクローン化します。

acfsutil sec ruleset create

Oracle ACFSファイルシステム・セキュリティ・ルール・セットを作成します。

acfsutil sec ruleset destroy

Oracle ACFSファイルシステム・ルール・セットを削除します。

acfsutil sec ruleset edit

Oracle ACFSファイルシステム・ルール・セットを更新します。

acfsutil sec save

Oracle ACFSファイルシステム・セキュリティ・メタデータを保存します。

acfsutil sec admin add

目的

Oracle ACFSファイルシステムの新しいセキュリティ管理者を追加します。

構文および説明

acfsutil sec admin add -h
acfsutil sec admin add admin

acfsutil sec admin add -hは、ヘルプ・テキストを表示して終了します。

表16-51に、acfsutil sec admin addコマンドで使用可能なオプションを示します。

表16-51 acfsutil sec admin addコマンドのオプション

オプション 説明

admin

セキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム・ユーザーであり、acfsutil sec initコマンドで指定したセキュリティ・グループのメンバーである必要があります。

Windowsでは、セキュリティ管理者ユーザー名はdomain_name\usernameの形式での完全修飾ドメインユーザー名で指定される必要があります。

セキュリティ管理者はクラスタ内のすべてのOracle ACFSファイルシステムで共通です。一時パスワードを新しいセキュリティ管理者に与える必要があります。パスワードは、acfsutil sec initで説明した形式に従う必要があります。

新しいセキュリティ管理者はacfsutil sec admin passwordコマンドを使用してパスワードを変更できます。詳細は、acfsutil sec admin passwordを参照してください。

セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。この例外により、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。

既存のセキュリティ管理者のみがこのコマンドを使用できます。

次に、acfsutil sec admin addコマンドの使用例を示します。

例16-45 acfsutil sec admin addコマンドの使用方法

$ /sbin/acfsutil sec admin add sec_admin_three

acfsutil sec admin info

目的

Oracle ACFSセキュリティ管理者のリストを表示します。

構文および説明

acfsutil -h sec admin info
acfsutil sec admin info

acfsutil sec admin info -hは、ヘルプ・テキストを表示して終了します。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec admin infoコマンドの使用例を示します。

例16-46 acfsutil sec info passwordコマンドの使用方法

$ /sbin/acfsutil sec admin info

acfsutil sec admin password

目的

Oracle ACFSファイルシステムのセキュリティ管理者のパスワードを変更します。

構文および説明

acfsutil sec admin password -h
acfsutil sec admin password

acfsutil sec admin password -hは、ヘルプ・テキストを表示して終了します。

acfsutil sec admin passwordコマンドは、コマンドを実行している管理者のセキュリティ・パスワードを変更します。このコマンドを実行するときに、新しいパスワードの入力を求められます。パスワードは、acfsutil sec initで説明した形式に従う必要があります。

セキュリティ管理者はacfsutil secコマンドを実行するたびに、セキュリティ管理者のパスワードを求められます。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec admin passwordコマンドの使用例を示します。

例16-47 acfsutil sec admin passwordコマンドの使用方法

$ /sbin/acfsutil sec admin password
ACFS Security administrator password:
New password:
Re-enter new password:

acfsutil sec admin remove

目的

Oracle ACFSファイルシステムのセキュリティ管理者を削除します。

構文および説明

acfsutil sec admin remove -h
acfsutil sec admin remove admin

acfsutil sec admin remove -hは、ヘルプ・テキストを表示して終了します。

表16-52に、acfsutil sec admin removeコマンドで使用可能なオプションを示します。

表16-52 acfsutil sec admin removeコマンドのオプション

オプション 説明

admin

既存のセキュリティ管理者のユーザー名を指定します。

Windowsでは、セキュリティ管理者ユーザー名はdomain_name\usernameの形式での完全修飾ユーザー名で指定される必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec admin removeコマンドの使用例を示します。

例16-48 acfsutil sec admin removeコマンドの使用方法

$ /sbin/acfsutil sec admin remove sec_admin_three

acfsutil sec batch

目的

指定したバッチ・ファイルを実行します。

構文および説明

acfsutil sec batch -h
acfsutil sec batch batch_file

acfsutil sec batch -hは、ヘルプ・テキストを表示して終了します。

表16-53に、acfsutil sec batchコマンドで使用可能なオプションを示します。

表16-53 acfsutil sec batchコマンドのオプション

オプション 説明

batch_file

既存のバッチ・ファイル名を指定します。バッチファイルにはacfsutil secコマンドのリストが含まれます。

バッチ・ファイルにはセキュリティ・レルム管理コマンドのみを含めることができます。対話型コマンドはお薦めしません。acfsutil sec admin addacfsutil sec admin password、およびacfsutil sec initコマンドはバッチ・ファイルでサポートされません。また、acfsutil encrコマンドなどのその他のacfsutilも、バッチ・ファイルに含めることはできません。バッチ・ファイルでコマンドが失敗すると、バッチ・ファイル内のその後のコマンドは実行されません。

次にバッチ・ファイルに含めることのできるコマンドの例を示します。

acfsutil sec realm create my_realm1 -m /mnt1 -e off
acfsutil sec realm create my_realm2 -m /mnt2 -e off

セキュリティ管理者のみがこのコマンドを実行できます。コマンドを実行するときに、管理者は一度パスワードを求められます。

次に、acfsutil sec batchコマンドの使用例を示します。

例16-49 acfsutil sec batchコマンドの使用方法

$ /sbin/acfsutil sec batch my_batch_file

acfsutil sec disable

目的

マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを無効にします。

構文および説明

acfsutil sec disable -h
acfsutil sec disable -m mount_point [-S snap_name] [realm]

acfsutil sec disable -hは、ヘルプ・テキストを表示して終了します。

表16-54に、acfsutil sec disableコマンドで使用可能なオプションを示します。

表16-54 acfsutil sec disableコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-S snap_name

指定した読取り-書込みスナップショットに対するセキュリティ機能を無効にします。

realm

Oracle ACFSファイルシステムのセキュリティ・レルムの名前を指定します。

acfsutil sec disable -m mount_pointコマンドは、マウント・ポイント・オプションで指定したOracle ACFSファイルシステムでセキュリティ機能を無効にします。ファイルシステムでセキュリティが無効になると、セキュリティ・レルムはレルム認証を行いません。

acfsutil sec disable -m mount_point realmコマンドは、コマンドで指定したレルムのセキュリティ機能を無効にします。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec disableコマンドの使用例を示します。

例16-50 acfsutil sec disableコマンドの使用方法

$ /sbin/acfsutil sec disable -m /acfsmounts/acfs1 my_realm

acfsutil sec enable

目的

マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを有効にします。

構文および説明

acfsutil sec enable -h
acfsutil sec enable -m mount_point [-S snap_name] [realm]

acfsutil sec enable -hは、ヘルプ・テキストを表示して終了します。

表16-55に、acfsutil sec enableコマンドで使用可能なオプションを示します。

表16-55 acfsutil sec enableコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-S snap_name

指定した読取り-書込みスナップショットに対するセキュリティ機能を有効にします。

realm

セキュリティ・レルムの名前を指定します。

acfsutil sec enable -m mount_pointコマンドは、マウント・ポイント・オプションで指定したOracle ACFSファイルシステムでセキュリティ機能を有効にします。ファイルシステムでセキュリティが有効になると、有効になったセキュリティ・レルムはレルム認証を行います。個別のセキュリティ・レルムを有効にする前に、このコマンドを実行する必要があります。

acfsutil sec enable -m mount_point realmコマンドは、コマンドで指定したレルムのセキュリティ機能を有効にします。ファイルシステムでセキュリティが有効になると、レルムは認証を行います。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec enableコマンドの使用例を示します。

例16-51 acfsutil sec enableコマンドの使用方法

$ /sbin/acfsutil sec enable -m /acfsmounts/acfs1

$ /sbin/acfsutil sec enable -m /acfsmounts/acfs1 my_realm

acfsutil sec info

目的

Oracle ACFSセキュリティに関する情報を表示します。

構文および説明

acfsutil sec info -h
acfsutil sec info -m mount_point
     [{-n [realm] | -l [rule] |-s [ruleset] |-c }] [-S snap_name]

acfsutil sec info -hは、ヘルプ・テキストを表示して終了します。

表16-56に、acfsutil sec infoコマンドで使用可能なオプションを示します。

表16-56 acfsutil sec infoコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-n realm

指定したセキュリティ・レルムに関する情報を表示します。レルム名を省略すると、すべてのレルムのリストが表示されます。

-l rule

指定したルールに関する情報を表示します。ルール名を省略すると、すべてのルールのリストが表示されます。

-s ruleset

指定したルール・セットに関する情報を表示します。ルール・セット名を省略すると、すべてのルール・セットのリストが表示されます。

-c

すべてのコマンド・ルールをリストします。

-S snap_name

指定したスナップショット内のレルム、ルールおよびルール・セットについての情報を表示します。

acfsutil sec infoコマンドは、指定したマウント・ポイントのレルム、ルールおよびルール・セットのリストに関する情報を取得します。特定のレルム、ルールまたはルール・セットを指定することで、指定したレルム、ルールまたはルール・セットに特有の情報を取得できます。指定したスナップショットについての情報も表示できます。

-mオプションを指定して他のオプションを指定しない場合、指定したマウント・ポイントのセキュリティの有効状態および準備状態が表示されます。

システム・セキュリティ・レルム内のファイルにアクセスするには、acfsutil sec admin addコマンドを使用して、セキュリティ管理者としてユーザーを割り当てる必要があります。セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec infoコマンドの使用例を示します。

例16-52 acfsutil sec infoコマンドの使用方法

$ /sbin/acfsutil sec info -m /acfsmounts/acfs1 -n my_realm

acfsutil sec info file

目的

指定したファイルまたはディレクトリが属するOracle ACFSセキュリティ・レルムの名前をリストします。

構文および説明

acfsutil sec info file -h
acfsutil sec info file -m mount_point path

acfsutil sec info file -hは、ヘルプ・テキストを表示して終了します。

表16-57に、acfsutil sec info fileコマンドで使用可能なオプションを示します。

表16-57 acfsutil sec info fileコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

path

ファイルシステム内のファイルまたはディレクトリのパスを指定します。

このコマンドではファイルの暗号化状態も表示できます。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec info fileコマンドの使用例を示します。

例16-53 acfsutil sec info fileコマンドの使用方法

$ /sbin/acfsutil sec info file -m /acfsmounts/acfs1
                                  /acfsmounts/acfs1/myfiles

acfsutil sec init

目的

Oracle ACFSセキュリティを初期化します。

構文および説明

acfsutil sec init -h
acfsutil sec init -u admin -g admin_sec_group

acfsutil sec init -hは、ヘルプ・テキストを表示して終了します。

表16-58に、acfsutil sec initコマンドで使用可能なオプションを示します。

表16-58 acfsutil sec initコマンドのオプション

オプション 説明

-u admin

最初のセキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム(OS)ユーザーであり、-gオプションで指定したオペレーティング・システム・グループのメンバーである必要があります。

Windowsでは、セキュリティ管理者ユーザー名はdomain_name\usernameの形式での完全修飾ユーザー名で指定される必要があります。

-g admin_sec_group

管理者のセキュリティ・グループの名前を指定します。指定するグループは、既存のオペレーティング・システム(OS)グループである必要があります。

Windowsでは、グループ名はdomain_name\groupnameの形式での完全修飾ドメイングループ名で指定される必要があります。domain_name\groupnameがスペースを含む場合、文字列を二重引用符(" ")で囲みます。

acfsutil sec initコマンドは、セキュリティ資格証明に必要なストレージを作成し、オペレーティング・システム・ユーザーを最初のセキュリティ管理者として識別します。コマンドはまた、指定されたセキュリティ・グループであるオペレーティング・システム・グループを識別します。セキュリティ管理者であるすべてのユーザーは、指定されたセキュリティ・グループのメンバーである必要があります。セキュリティ管理者はすべてのOracle ACFSファイルシステムで共通です。

OSユーザーおよびOSグループを設定する場合、詳細はオペレーティング・システム(OS)固有のドキュメントを参照してください。

acfsutil sec initコマンドは、1度実行されて各クラスタに対しOracle ACFSセキュリティが設定されれば、クラスタ内の任意のノードから実行できます。他のセキュリティ・コマンドもクラスタ内の任意のノードから実行できます。

rootユーザーまたはWindowsのAdministratorユーザーのみがこのコマンドを実行できます。ユーザーはセキュリティ管理者のパスワードを指定します。セキュリティ管理者パスワードは次の形式に従う必要があります。

  • 最大文字数は20です。

  • 最小文字数は8です。

  • パスワードには少なくとも1つの数字が含まれる必要があります。

  • パスワードには少なくとも1つの文字が含まれる必要があります。

新しいセキュリティ管理者はacfsutil sec admin passwordコマンドを使用してパスワードを変更できます。詳細は、acfsutil sec admin passwordを参照してください。

セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。この例外により、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。

次に、acfsutil sec initコマンドの使用例を示します。

例16-54 acfsutil sec initコマンドの使用方法

$ /sbin/acfsutil sec init -u grid -g asmadmin

acfsutil sec load

目的

Oracle ACFSセキュリティ・メタデータをマウント・ポイントで識別したファイルシステムにロードします。

構文および説明

acfsutil sec load -h
acfsutil sec load -m mount_point -p file

acfsutil sec load -hは、ヘルプ・テキストを表示して終了します。

表16-59に、acfsutil sec loadコマンドで使用可能なオプションを示します。

表16-59 acfsutil sec loadコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-p file

既存の保存されたセキュリティ・メタデータ・ファイルの名前を指定します。

acfsutil sec loadコマンドは、保存されたXMLファイル内のセキュリティ・メタデータを指定のOracle ACFSファイルシステムにロードします。acfsutil sec loadコマンドは、ユーザーが作成したセキュリティ・ポリシーのリストアのみを行い、ファイルをレルムに追加しません。

acfsutil sec loadacfsutil sec saveを一緒に使用すると、ユーザーが作成したポリシーをファイルシステム間でコピーできます。たとえば、あるファイルシステムに、別のファイルシステムにレプリケートするセキュリティ・ポリシーがある場合、ソース・ファイルシステムでacfsutil sec saveを使用し、XMLバックアップ・ファイルを作成します。次に、宛先となる別のファイルシステムでacfsutil sec loadを使用して、保存したセキュリティ・メタデータをロードして同じポリシーを作成します。ポリシーの作成後、設定するポリシーに応じて、ディレクトリおよびファイルを異なるレルムに追加することで、そのファイルシステムの様々なディレクトリおよびファイルにポリシーを適用することもできます。

acfsutil sec loadコマンドを実行するには、ロード先のマウント・ポイントに、セキュリティ用に用意されたファイルシステムがあり、ユーザー作成のセキュリティ・オブジェクトが含まれない必要があります。

ロード先マウント・ポイントにマウントされたファイルシステムにセキュリティ・オブジェクトが含まれる場合、acfsutil sec prepare -uを実行して、ファイルシステムに作成済のすべてのセキュリティ・オブジェクトを削除する必要があります。acfsutil sec prepare -uを正常に実行した後、acfsutil sec prepareを実行して、セキュリティ用のファイルシステムを準備します。acfsutil sec prepareを正常に実行した後で、ファイルシステムでacfsutil sec loadを実行できます。ファイルシステムでのセキュリティの準備またはファイルシステムからのセキュリティの削除の詳細は、acfsutil sec prepareを参照してください。

acfsutil sec loadコマンドではバックアップ・ファイルからシステム・セキュリティ・レルムをロードできません。システム・セキュリティ・レルムはacfsutil sec prepareコマンドを使用して作成されます。acfsutil sec loadはこれらのレルムを再作成しません。システム作成のセキュリティ・レルムの詳細は、acfsutil sec prepareを参照してください。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec loadコマンドの使用例を示します。

例16-55 acfsutil sec loadコマンドの使用方法

$ /sbin/acfsutil sec load -m /acfsmounts/acfs1 -p my_metadata_file.xml

acfsutil sec prepare

目的

セキュリティ機能用にOracle ACFSファイルシステムを準備します。

構文および説明

acfsutil sec prepare -h
acfsutil sec prepare [-u] -m mount_point

acfsutil sec prepare -hは、ヘルプ・テキストを表示して終了します。

表16-60に、acfsutil sec prepareコマンドで使用可能なオプションを示します。

表16-60 acfsutil sec prepareコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-u

指定したマウント・ポイントのセキュリティを取り消します。

このコマンドは、ファイルシステムからセキュリティを削除し、ファイルシステムでacfsutil sec prepareが実行する前の状態にファイルシステムを戻します。

このコマンドはすべてのレルム保護されたファイルおよびディレクトリをレルムから削除し、すべてのOracle ACFSセキュリティ・ルール、ルール・セットおよびレルムをファイルシステムから破棄します。しかし、.Securityディレクトリおよびそのコンテンツ(ログ・ファイルおよびセキュリティ・メタデータ・バックアップ・ファイルを含む)は削除されません。

使用中の暗号化およびセキュリティを削除する場合、このコマンドは暗号化を取り消してから実行する必要があります。暗号化を取り消すには、acfsutil encr setを参照してください。

レルム管理コマンドを実行する前に、acfsutil sec prepareコマンドを実行する必要があります。このコマンドはセキュリティ用に指定したOracle ACFSファイルシステムを準備し、デフォルトでファイルシステムのセキュリティをオンにします。

acfsutil sec prepare -uを実行する際には、acfsutil sec prepareが完了するまで、他のOracle ACFSセキュリティ・コマンドが実行されていないことを確認してください。

監査がクラスタで初期化された場合、このコマンドによって、ファイルシステム上のOracle ACFSセキュリティの監査ソースも有効化されます。この監査ソースを有効にしたときに実行されるアクションは、acfsutil audit enableコマンドを直接実行したときに行われるアクションと同じです。詳細は、acfsutil audit enableを参照してください。

このコマンドは、/mount_point/.Security/mount_point/.Security/backupおよび/mount_point/.Security/realm/logsディレクトリを作成します。ここで、mount_pointは、コマンドラインで指定するオプションです。

このコマンドでは次のシステム・セキュリティ・レルムを作成します。

  • SYSTEM_Logs

    これはシステムが作成するレルムで.Security/realm/logs/ディレクトリ内のOracle ACFSセキュリティ・ログ・ファイルを保護します。

  • SYSTEM_Audit

    これはシステム生成のレルムで、監査証跡ファイルを保護します。このレルムは、監査が初期化された場合に作成されます。監査が初期化されない場合、acfsutil audit enableコマンドによってセキュリティ・ソースに対して監査が有効化されたときに、作成されます。監査マネージャがファイルの読取りと書込みを、監査者がファイルの読取りを行うことができ、他にアクセス可能なユーザーがいないように、このレルムは監査証跡ファイルを保護します。また、このレルムは、監査マネージャがファイルの削除(acfsutil audit purgeコマンドを実行せずに)、切捨て、上書きまたは権限変更を行うことができないように、監査証跡ファイルを保護します。

  • SYSTEM_SecurityMetadata

    これはシステム生成のレルムで.Security/realm/logs/ディレクトリ内のOracle ACFSメタデータXMLファイルを保護します。

  • SYSTEM_Antivirus

    これは、Oracle ACFSファイルシステム上で実行中のウィルス対策ソフトウェアにアクセスできる、システム作成のレルムです。すべてのレルム保護されたファイルまたはディレクトリについては、SYSTEM_Antivirusレルムがファイルまたはディレクトリにアクセスできるかどうかを決定するために認可チェックが実行されるときに、SYSTEM_Antivirusレルムが評価されます。

    レルム保護されたファイルまたはディレクトリにアクセスするためにウィルス対策処理を許可するには、例16-57に示すように、acfsutil sec realm addコマンドでLocalSystemまたはSYSTEMグループをレルムに追加する必要があります。その他のウィルス対策処理がAdministratorとして実行中の場合、Administratorユーザーはレルム保護されたファイルとディレクトリにアクセスできるようにSYSTEM_Antivirusレルムに追加される必要があります。

    ウィルス対策製品がインストールされていない場合、ユーザーまたはグループをSYSTEM_Antivirusレルムに追加することはできません。SYSTEM_Antivirusレルムに追加されたユーザーまたはグループにはREADREADDIRのアクセスがあるため、このレルムに追加されるユーザーまたはグループを制限します。このレルムのユーザーまたはグループがレルム保護されたファイルまたはディレクトリに時間ベースのルールでアクセスできるときに、時間ウィンドウを制限できます。ファイルをスキャンするウィルス対策インストールにプロセス名を特定できる場合、アプリケーションベースのルールも持つこともできます。

    SYSTEM_Antivirusレルムのみがファイルまたはディレクトリ上でOPENREADREADDIRおよび時間属性の設定の操作を実行できます。ファイルまたはディレクトリを削除するために、セキュリティを無効化して影響を受けるファイルをクリーンアップする必要がある場合があります。

    このレルムはWindowsシステムにのみ設定されます。

  • SYSTEM_BackupOperators

    これはシステム生成のレルムで、レルム保護されたファイルおよびディレクトリをバックアップできるユーザーを認証できます。ユーザー・グループ、ルール・セットおよびコマンド・ルールをこのレルムに追加して、レルム保護されたファイルおよびディレクトリをバックアップするための密な認証を可能にします。レルム保護されたファイルおよびディレクトリをバックアップするには、ユーザーをこのレルムに追加する必要があります。

    このシステム・レルムにグループを追加する場合は注意が必要です。このシステム・レルムにグループを追加すると、追加したグループのすべてのユーザーは、レルムの保護をオーバーライドしてファイルにアクセスできるようになります。

システム・セキュリティ・レルム内のファイルにアクセスするには、acfsutil sec admin addコマンドを使用して、セキュリティ管理者としてユーザーを割り当てる必要があります。

ユーザー作成のレルムと同様に、acfsutil sec realm addコマンドを使用して、ユーザー、グループ、ルール・セットおよびコマンド・ルールをシステム作成のレルムに追加できます。ただし、ファイルおよびディレクトリをシステム・レルムに追加することはお薦めしません。acfsutil sec realm deleteコマンドを使用して、システム作成のレルムからオブジェクトを削除します。

システム作成のセキュリティ・レルムは、システム管理者がacfsutil sec admin destroyコマンドを使用して削除できません。これらのレルムは、acfsutil sec prepareコマンドを-uオプションを指定して実行する際に、セキュリティがファイルシステムで取り消されるときにのみ削除されます。

スナップショットがファイルシステムに存在する場合、acfsutil sec prepare –uコマンドを使用できません。

セキュリティ管理者のみがacfsutil sec prepareコマンドを実行できます。

次に、acfsutil sec prepareコマンドの使用例を示します。

例16-56 acfsutil sec prepareコマンドの使用方法

$ /sbin/acfsutil sec prepare -m /acfsmounts/acfs1

acfsutil sec realm add

目的

Oracle ACFSセキュリティ・レルムにオブジェクトを追加します。

構文および説明

acfsutil sec realm add -h
acfsutil sec realm add realm -m mount_point 
   {[-u user, ...] [-G os_group,...]
    [-l commandrule:ruleset,commandrule:ruleset, ...]
    [-e [-a {AES}] [-k {128|192|256}]]
    [-f [ -r] path ...]}

acfsutil sec realm add -hは、ヘルプ・テキストを表示して終了します。

表16-61に、acfsutil sec realm addコマンドで使用可能なオプションを示します。

表16-61 acfsutil sec realm addコマンドのオプション

オプション 説明

realm

追加するレルム名を指定します。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-u user

追加するユーザー名を指定します。

-G os_group

追加するオペレーティング・システム・グループを指定します。

-l commandrule:ruleset

追加するフィルタを指定します。commandruleスイッチを使用して、ルール・セットを含むレルムに1つまたは複数のコマンド・ルールを追加します。

rulesetはこのレルム用にコマンド・ルールと関連付けられたルール・セットを指定します。各コマンド・ルールには1つのルール・セットしか含めることはできません。

コマンドルールのリストについては、表16-62を参照してください。コマンド・ルールのリストを表示するには、acfsutil sec info-cオプションを使用します。acfsutil sec infoを参照してください。

-e

レルムで暗号化を有効にします。レルムに対して暗号化をオンにすると、レルムに含まれるすべてのファイルが暗号化されます。これらのファイルは暗号化されたレルムの一部でなくなるまで暗号化されたままです。

暗号化されたファイルは、新しく指定した暗号化パラメータと一致するように再暗号化されません。

-a {AES}

レルムの暗号化アルゴリズムを指定します。

-k { 128|192|256}

暗号化キー長を指定します。

-f [-r] path ...

pathで指定したファイルをレルムに追加します。-rは再帰的な操作を指定します。ファイル・パスは空白で区切ってコマンドの最後に置く必要があります。

指定したファイルがレルム保護されていない場合、ファイルはレルムの暗号化状態と一致するように暗号化または復号化されます。

acfsutil sec realm addコマンドは指定したレルムにオブジェクトを追加します。追加するオブジェクトは、ユーザー、グループ、コマンド・ルール、ルール・セットおよびファイルなどです。オブジェクトの追加時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。

ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

-eオプションを指定する場合、暗号化がクラスタに対して初期化され、ファイルシステムで設定されている必要があります。詳細は、acfsutil encr initおよびacfsutil encr setを参照してください。

.Securityディレクトリを含むマウント・ポイント全体がレルムに追加される場合、セキュリティ管理者オペレーティング・システム・グループをレルムに追加し、セキュリティ・ログおよびバックアップ操作を管理する必要があります。

サポートしているコマンド・ルールを表16-62に示します。これらのコマンドルールで、レルム保護されたファイルおよびディレクトリ上のファイルシステム操作に対して制限または保護します。

表16-62 セキュリティ・レルムのコマンド・ルール

ルール 説明

ALL

ファイルおよびディレクトリ上のすべてのファイルシステム操作を保護します。

APPENDFILE

ファイルの最後に追加することを制限します。制限には現在のファイルサイズ内で開始する書込みが含まれますが、ファイルの最後を越えて続行されます。

CHGRP

ファイルまたはディレクトリ上のグループ所有権の変更から保護します。

CHMOD

ファイルまたはディレクトリ上の権限の変更から保護します。

CHOWN

ファイルまたはディレクトリ上の所有権情報の変更から保護します。

CREATEFILE

ディレクトリ内の新しいファイルの作成から保護します。

DELETEFILE

ディレクトリのファイルの削除から保護します。

EXTEND

ファイルサイズの拡張操作を制限します。ファイルサイズは、別の操作で変更可能な場合があります。EXTENDは、append操作が続くtruncateからは保護しません。

IMMUTABLE

acfsutil tagおよびacfsutil encrなどのコマンドの結果として生じる、拡張された属性への変更を除く、レルム内のファイルとディレクトリへの変更を拒否します。

ファイルまたはディレクトリに対するAPPENDFILECHGRPCHMODCHOWNDELETEFILEEXTENDOVERWRITERENAMERMDIRTRUNCATE、およびWRITEの保護を含みます。

IMMUTABLEは、atime属性への変更は拒否しません。atime属性は、ユーザーがファイルにアクセスしたときに変更されます。

ファイルとディレクトリをセキュリティ・レルムにアーカイブするために設定できます。

LINKFILE

ファイルへのハードリンクの作成を制限します。

MKDIR

ディレクトリ内で新しいディレクトリを作成することから保護します。

MMAPREAD

Linux上でmmap()を使用して、またはWindows上でCreateFileMappingの後にMapViewOfFile()を使用して、読取り操作のためにメモリーがマップされることからファイルを保護します。

MMAPWRITE

書込み操作のためにメモリーがマップされることからファイルを保護します。MMAPWRITEを設定しても、オペレーティング・システムがファイルを読取りと書込みの両方に対してマップするような読取りに対するマッピングからファイルを保護します。

OPENFILE

ファイルを開くことから保護します。

OVERWRITE

ファイル内の既存のコンテンツを、開始と終了のオフセットが現在のファイルサイズ内であるwrite操作による上書きから保護します。

ファイル上の操作でtruncateの後にappendが続く場合、OVERWRITEはファイルを保護しません。appendoverwriteの両方の操作から追加の保護を提供するには、WRITEコマンド・ルールを使用します。

READDIR

セキュリティ管理者グループによる使用を除いて、ディレクトリのリストを制限します。

READ

ファイルのコンテンツの読取りから保護します。mmap(2)を使用するread操作から、READも同様に保護します。

RENAME

ファイルまたはディレクトリの名前変更から保護します。

RMDIR

ディレクトリの削除から保護します。

SYMLINK

セキュリティ・レルムによって保護されているディレクトリ内のシンボリック・リンクの作成を制限します。シンボリック・リンクを作成するときは、ソース・ファイルがセキュリティ・レルムによって保護されているかどうかは関係ありません。

TRUNCATE

ファイルの切捨てを制限します。

WRITE

writeシステム・コールからファイルを保護します。WRITEappendおよびoverwriteの操作から保護します。またmmap(2)を使用するwrite操作からも保護します。

ファイルは、別の操作で変更可能な場合があります。ファイルをその他の変更から保護するには、TRUNCATEおよびDELETEFILEコマンド・ルールも使用します。

セキュリティ管理者のみがこのコマンドを実行できます。

例16-57に、acfsutil sec realm addコマンドの使用を示します。最初のacfsutil secコマンドがユーザー・グループをセキュリティ・レルムに追加します。Windows環境では、2番目と3番目のコマンドがLocalSystemまたはSYSTEMグループをSYSTEM_Antivirusレルムに追加します。

例16-57 acfsutil sec realm addコマンドの使用方法

$ /sbin/acfsutil sec realm add my_security_realm -m /acfsmounts/acfs1 
     -G my_os_group

C:\> acfsutil sec realm add SYSTEM_Antivirus /m e: /G "NT AUTHORITY\\SYSTEM"

C:\> acfsutil sec realm add SYSTEM_Antivirus /m e: /G "SYSTEM"

acfsutil sec realm audit disable

目的

Oracle ACFSセキュリティ・レルム内のファイルに対して、特定のコマンド・ルールまたはすべてのコマンド・ルールの監査を無効にします。

構文および説明

acfsutil sec realm audit disable -h
acfsutil sec realm audit disable realm -m mount_point
     [-l commandrule,commandrule,...] {-a |-v }

acfsutil sec realm audit disable -hは、ヘルプ・テキストを表示して終了します。

表16-63に、acfsutil sec realm audit disableコマンドで使用可能なオプションを示します。

表16-63 acfsutil sec realm audit disableコマンドのオプション

オプション 説明

realm

セキュリティ・レルム名を指定します。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-l commandrule

監査を無効にするコマンド・ルールを指定します。

このオプションを指定しない場合、すべてのコマンド・ルールのリストはデフォルトになります。

コマンドルールのリストについては、表16-62を参照してください。コマンド・ルールのリストを表示するには、acfsutil sec info-cオプションを使用します。acfsutil sec infoを参照してください。

-a | -v

監査レルム認証を無効にする(-a)か、または監査レルム違反を無効にする(-v)かを指定します。–aまたは–vのいずれかを指定する必要があります。

コマンド・ルールをリストする場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

セキュリティ管理者のみがこのコマンドを実行できます。このコマンドは、Oracle ACFSセキュリティ管理者パスワードを使用して認証されます。

例16-58に、acfsutil sec realm audit disableコマンドの使用方法を示します。このコマンドは、OPEN (すべての違反)およびWRITE (すべての違反)のコマンド・ルールでの監査を無効にします。

例16-58 acfsutil sec realm audit disableコマンドの使用方法

$ /sbin/acfsutil sec realm audit disable mySecureRealm
    –m /acfsmounts/acfs1 –l OPEN,WRITE –v

acfsutil sec realm audit enable

目的

Oracle ACFSセキュリティ・レルム内のファイルに対して、特定のコマンド・ルールまたはすべてのコマンド・ルールの監査を有効にします。

構文および説明

acfsutil sec realm audit enable -h
acfsutil sec realm audit enable realm -m mount_point
     [-l commandrule,commandrule,...]
     [-a ] [-v [ -u] ]

acfsutil sec realm audit enable -hは、ヘルプ・テキストを表示して終了します。

表16-64に、acfsutil sec realm audit enableコマンドで使用可能なオプションを示します。

表16-64 acfsutil sec realm audit enableコマンドのオプション

オプション 説明

realm

セキュリティ・レルム名を指定します。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-l commandrule

監査を有効にするコマンド・ルールを指定します。

このオプションを指定しない場合、すべてのコマンド・ルールのリストはデフォルトになります。

コマンドルールのリストについては、表16-62を参照してください。コマンド・ルールのリストを表示するには、acfsutil sec info-cオプションを使用します。acfsutil sec infoを参照してください。

-a

レルム認証を監査するよう指定します。

-v [-u]

レルム違反を監査するよう指定します。–uも指定した場合、レルムのメンバーであるユーザーによるレルム違反のみが監査されます。

acfsutil sec realm audit enableコマンドを複数回実行した場合、先に行われた構成は無効にならず、新しい設定も適用されます。この動作で例外が発生するのは、このコマンドを–vオプションとともに実行し、指定したコマンド・ルールにレルム違反用の監査設定がある場合です。この場合、–uフラグが指定されたかどうかに従って、動作が更新されます。詳細は、例16-61を参照してください。

コマンド・ルールをリストする場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

acfsutil sec realm audit enableコマンドで–a–vのどちらも指定しない場合、デフォルトは–vです。–a–vの両方を指定できます。

セキュリティ管理者のみがこのコマンドを実行できます。このコマンドは、Oracle ACFSセキュリティ管理者パスワードを使用して認証されます。

例16-59に、Oracle ACFSバックアップ・オペレータの監査を有効にする方法を示します。これらのユーザーはSYSTEM_Backupレルムによってファイルへのアクセスが許可され、ファイルシステム上のすべてのファイルにアクセス権を与える特別な権限が付与されるため、セキュリティ管理者は、これらのユーザーのアクションを監査できます。コマンドを実行すると、SYSTEM_Backupレルムのメンバーはいつでも、ファイルシステム上のOracle ACFSセキュリティ監査証跡に監査レコードが書き込まれているファイルを開くことができます。

例16-59 Oracle ACFSセキュリティ・バックアップ・オペレータの監査

$ /sbin/acfsutil sec realm audit enable SYSTEM_Backup 
    –m /acfsmounts/acfs1 –l OPEN –a

例16-60に、–uオプションを使用して、レルムの一部であるユーザーがレルム違反を監査する方法を示します。このシナリオでは、人事管理の機密情報がHumanResourcesセキュリティ・レルムに格納され、hrグループはこの情報へのアクセスが許可されます。ただし、ALLコマンド・ルールに適用されたルールセットにより、午後6時から午前8時まではこのデータにアクセスできません。このコマンドを使用すると、セキュリティ管理者は、許可された時間外に人事管理の従業員が機密データにアクセスしようとしているかどうかを検出できます。このコマンドを実行すると、hrグループのメンバーであるユーザーによるアクセス違反のみが監査されます。

例16-60 セキュリティ・レルム・ユーザーのみの監査

$ /sbin/acfsutil sec realm audit enable HumanResources 
    –m /acfsmounts/acfs1 –l ALL –v –u

例16-61に、acfsutil sec realm audit enableコマンドを複数実行する方法を示します。「run 1」の後、OPEN (すべての違反)およびWRITE (すべての違反)のコマンド・ルールが監査されます。「run 2」の後、OPEN (すべての違反)、WRITE (すべての違反)、およびDELETEFILE (認証)のコマンド・ルールが監査されます。「run 3」の後、OPEN (認証およびレルム・ユーザー違反)、WRITE (すべての違反)、DELETEFILE (認証)、およびTRUNCATE (認証およびレルム・ユーザー違反)のコマンド・ルールが監査されます。「run 4」の後、すべての違反がすべてのコマンド・ルールで監査されます。また、OPENDELETEFILEおよびTRUNCATEの認証が監査されます。

例16-61 acfsutil sec realm audit enableの複数回の実行

$ echo run 1
$ /sbin/acfsutil sec realm audit enable mySecureRealm 
    –m /acfsmounts/acfs1 –l OPEN,WRITE –v

$ echo run 2
$ /sbin/acfsutil sec realm audit enable mySecureRealm 
    –m /acfsmounts/acfs1 –l DELETEFILE –a

$ echo run 3
$ /sbin/acfsutil sec realm audit enable mySecureRealm
    -m /acfsmounts/acfs1 –l OPEN,TRUNCATE –a –v -u

$ echo run 4
$ /sbin/acfsutil sec realm audit enable mySecureRealm 
    –m /acfsmounts/acfs1 –v

acfsutil sec realm audit info

目的

指定したOracle ACFSセキュリティ・レルムのレルム監査情報を表示します。

構文および説明

acfsutil sec realm audit info -h
acfsutil sec realm audit info -m mount_point -n realm

acfsutil sec realm audit info -hは、ヘルプ・テキストを表示して終了します。

表16-64に、acfsutil sec realm audit infoコマンドで使用可能なオプションを示します。

表16-65 acfsutil sec realm audit infoコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-n realm

セキュリティ・レルム名を指定します。

acfsutil sec realm audit infoコマンドは、指定したOracle ACFSセキュリティ・レルムに関する情報を提供します。

例16-62に、acfsutil sec realm audit infoコマンドの例を示します。

例16-62 acfsutil sec realm audit infoの実行

$ /sbin/acfsutil sec realm audit info –m /acfsmounts/acfs1 
    -n mySecureRealm

Command rule auditing information for realm 'mySecureRealm' 
   on mount point '/acfsmounts/acfs1':
 
Realm authorization            :    'READ, WRITE'
Realm violation for all users  :    'READ, OPENFILE'
Realm violation for realm users:    'None' 

acfsutil sec realm clone

目的

Oracle ACFSセキュリティ・レルムをクローン化します。

構文および説明

acfsutil sec realm clone -h
acfsutil sec realm clone realm -s src_mount_point new_realm
     [-e] [-f] [-G] [-l] [-u]
acfsutil sec realm clone realm -s src_mount_point 
     [new_realm] -d destination_mount_point 
     [-e] [-G] [-l] [-u]

acfsutil sec realm clone -hは、ヘルプ・テキストを表示して終了します。

表16-66に、acfsutil sec realm cloneコマンドで使用可能なオプションを示します。

表16-66 acfsutil sec realm cloneコマンドのオプション

オプション 説明

realm

クローン化するレルム名を指定します。

-s src_mount_point

ソース・ファイルシステムがマウントされるディレクトリを指定します。

new_realm

新しいレルム名を指定します。

-d destination_mount_point

新しいレルムの宛先マウント・ポイントのディレクトリを指定します。

-e

暗号化属性を新しいレルムにコピーします。

-f

ファイル・オブジェクトを新しいレルムにコピーします。

-G

オペレーティング・システム・グループを新しいレルムにコピーします。

-l

フィルタを新しいレルムにコピーします。

-u

ユーザーを新しいレルムにコピーします。

acfsutil sec realm cloneコマンドは指定したレルムのコピーを宛先マウント・ポイントに作成します。ソースとマウント・ポイントが異なり、新しいレルム名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のレルム名を使用してレルムがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたレルムはソース・マウント・ポイントに配置され、新しい一意のレルム名を指定する必要があります。

-lオプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、ルールおよびルール・セットが最初にクローン化される必要があります。

-eオプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、暗号化が宛先マウント・ポイントに設定される必要があります。詳細は、acfsutil encr setを参照してください。

-fオプションは宛先マウント・ポイントがソース・マウント・ポイントと同じである場合にのみ使用できます。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec realm cloneコマンドの使用例を示します。

例16-63 acfsutil sec realm cloneコマンドの使用方法

$ /sbin/acfsutil sec realm clone my_security_realm -s /acfsmounts/acfs1
      my_new_security_realm -d /acfsmounts/acfs2 -G

acfsutil sec realm create

目的

Oracle ACFSセキュリティ・レルムを作成します。

構文および説明

acfsutil sec realm create -h
acfsutil sec realm create realm -m mount_point 
     -e { on -a {AES}  -k {128|192|256} | off }
     [-o {enable|disable}] [-d "description"]

acfsutil sec realm create -hは、ヘルプ・テキストを表示して終了します。

表16-67に、acfsutil sec realm createコマンドで使用可能なオプションを示します。

表16-67 acfsutil sec realm createコマンドのオプション

オプション 説明

realm

レルム名を指定します。

-m mount_point

ファイルシステムのマウント・ポイントを指定します。マウント・ポイントはLinuxプラットフォーム上のパスとして指定します。

-e {on|off}

レルムの暗号化をオンまたはオフに指定します。

-a {AES}

暗号化アルゴリズムを指定します。

-k { 128|192|256}

暗号化キー長を指定します。

-o {enable|disable}

レルムのセキュリティをオンまたはオフに指定します。

-d "description"

レルムの説明を指定します。

acfsutil sec create realmは指定したOracle ACFSファイルシステムに新しいレルムを作成します。新しいレルム名はマウント・ポイントで識別されるファイルシステムで一意の名前である必要があります。

acfsutil sec prepareコマンドによって作成されたデフォルトのシステム・レルムを含む最大500のOracle ACFSセキュリティ・レルムを作成できます。

-o disableオプションが指定されていないかぎり、デフォルトでレルムは有効です。

-e onオプションを指定する場合は、暗号化をクラスタに対して初期化し、ファイルシステムに設定する必要があります。詳細は、acfsutil encr initおよびacfsutil encr setを参照してください。

-e offオプションを指定すると、-aおよび-kオプションは指定できません。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec realm createコマンドの使用例を示します。

例16-64 acfsutil sec realm createコマンドの使用方法

$ /sbin/acfsutil sec realm create my_security_realm -m /acfsmounts/acfs1
     -e on -a AES -k 192 -o enable

acfsutil sec realm delete

目的

Oracle ACFSセキュリティ・レルムからオブジェクトを削除します。

構文および説明

acfsutil sec realm delete -h
acfsutil sec realm delete realm -m mount_point 
     {[-u user, ...] [-G os_group, ...] 
     [-l :ruleset,commandrule:ruleset, ...]
     [-f [ -r] path, ...] ] [-e ]}

acfsutil sec realm delete -hは、ヘルプ・テキストを表示して終了します。

表16-68に、acfsutil sec realm deleteコマンドで使用可能なオプションを示します。

表16-68 acfsutil sec realm deleteコマンドのオプション

オプション 説明

realm

レルム名を指定します。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-u user

削除するユーザー名を指定します。

-G os_group

削除するオペレーティング・システム・グループを指定します。

-l commandrule:ruleset

レルムから削除するフィルタを指定します。コマンド・ルールのリストを表示するには、acfsutil sec info-cオプションを使用します。rulesetはこのレルム用にコマンド・ルールと関連付けられたルール・セットを指定します。

-f [-r] path ...

pathで指定したファイルをレルムから削除します。-rは再帰的な操作を指定します。ファイル・パスは空白で区切る必要があります。

これがファイルをセキュリティ保護している最後のレルムである場合、そのファイルはファイルシステム・レベルの暗号化状態と一致するように暗号化または復号化されます。

-e

レルムで暗号化を無効にします。

暗号化を無効にするときに、このオプションは他の暗号化されたレルムに属していない、レルム内のファイルを復号化します。ファイルが暗号化された他のレルムの一部であるか、またはファイルシステムで暗号化がオンになる場合、そのファイルは暗号化されたままです。

acfsutil sec realm deleteコマンドは指定したレルムからオブジェクトを削除します。削除するオブジェクトは、ユーザー、グループ、ルール・セットおよびファイルなどです。オブジェクトの削除時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。

ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec realm deleteコマンドの使用例を示します。

例16-65 acfsutil sec realm deleteコマンドの使用方法

$ /sbin/acfsutil sec realm delete my_security_realm -m /acfsmounts/acfs1
     -f -r /acfsmounts/acfs1/myoldfiles/*.log

acfsutil sec realm destroy

目的

Oracle ACFSセキュリティ・レルムを破棄します。

構文および説明

acfsutil sec realm destroy -h
acfsutil sec realm destroy realm -m mount_point

acfsutil sec realm destroy -hは、ヘルプ・テキストを表示して終了します。

表16-69に、acfsutil sec realm destroyコマンドで使用可能なオプションを示します。

表16-69 acfsutil sec realm destroyコマンドのオプション

オプション 説明

realm

レルム名を指定します。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

acfsutil sec destroy realmは指定したOracle ACFSファイルシステムからセキュリティ・レルムを削除します。レルムを破棄してもレルム内のオブジェクトは破棄されません。このコマンドは、オブジェクトからレルムに関連しているセキュリティを削除するだけです。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec realm destroyコマンドの使用例を示します。

例16-66 acfsutil sec realm destroyコマンドの使用方法

$ /sbin/acfsutil sec realm destroy my_security_realm -m /acfsmounts/acfs1

acfsutil sec rule clone

目的

セキュリティ・ルールをクローン化します。

構文および説明

acfsutil sec rule clone -h
acfsutil sec rule clone rule -s src_mount_point new_rule
acfsutil sec rule clone rule -s src_mount_point
     [new_rule] -d mount_point

acfsutil sec rule clone -hは、ヘルプ・テキストを表示して終了します。

表16-70に、acfsutil sec rule cloneコマンドで使用可能なオプションを示します。

表16-70 acfsutil sec rule cloneコマンドのオプション

オプション 説明

rule

ルールの既存の名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-s src_mount_point

ソース・ファイルシステムがマウントされるディレクトリを指定します。

-d mount_point

ファイルシステムの宛先マウント・ポイントのディレクトリを指定します。

new_rule

ルールの新しい名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

ソースとマウント・ポイントが異なり、新しいルール名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のルール名を使用してルールがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルールはソース・マウント・ポイントに配置され、新しい一意のルール名を指定する必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec rule cloneコマンドの使用例を示します。

例16-67 acfsutil sec rule cloneコマンドの使用方法

$ /sbin/acfsutil sec rule clone my_security_rule -s /acfsmounts/acfs1
      my_new_security_rule -d /acfsmounts/acfs2

acfsutil sec rule create

目的

セキュリティ・ルールを作成します。

構文および説明

acfsutil sec rule create -h
acfsutil sec rule create rule -m mount_point 
     -t rule_type rule_value
     [-o {ALLOW|DENY}]

acfsutil sec rule create -hは、ヘルプ・テキストを表示して終了します。

表16-71に、acfsutil sec rule createコマンドで使用可能なオプションを示します。

表16-71 acfsutil sec rule createコマンドのオプション

オプション 説明

rule

ルールの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-t rule_type rule_value

ルールのタイプとルールの値を指定します。ルールのタイプには、applicationhostnametimeまたはusernameを指定できます。ルールの値はルールのタイプによって異なります。有効なルールのタイプと値はこの項に記載されています。

-o option

-oを先頭に付けてオプションを指定します。指定できるオプションはALLOWまたはDENYです。デフォルト値はDENYです。

acfsutil sec rule createはマウント・ポイントで指定したOracle ACFSファイルシステムに新しいルールを作成します。新しいルールはルール・セットに追加でき、ルール・セットはセキュリティ・レルムに追加できます。

最大500のOracle ACFSセキュリティ・ルールを作成できます。

ルールのタイプと関連するルールの値には、次のものがあります。

  • application

    このルールのタイプでは、レルムにより保護されたオブジェクトへのアクセスが許可または拒否されるアプリケーションの名前を指定します。

  • hostname

    このルールのタイプでは、レルムにより保護されたオブジェクトにユーザーがアクセスする元のコンピュータの名前を指定します。このルールを使用してノードからのアクセスが許可または拒否されます。hostnameにはいずれかのクラスタ・ノード名を指定する必要があり、ネットワーク・ファイルシステム(NFS)マウントとしてOracle ACFSファイルシステムをマウントした他の外部ノードは指定できません。

  • time

    このルールのタイプでは、start_time,end_time形式で時間間隔を指定します。この時間間隔でレルムへのアクセスを指定します。レルムにより保護されたオブジェクトへのアクセスは、レルム内のこのルール設定により、1日のうち特定の時間だけ許可または拒否されます。この時間はホストのローカル時間に基づきます。

  • username

    このルールのタイプでは、レルムに追加またはレルムから削除するユーザー名を指定します。このオプションを使用して、レルムの一部であるセキュリティ・グループに属する任意のユーザーのアクセスを拒否できます。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec rule createコマンドの使用例を示します。

例16-68 acfsutil sec rule createコマンドの使用方法

$ /sbin/acfsutil sec rule create my_security_rule -m /acfsmounts/acfs1
      -t username security_user_one -o ALLOW

acfsutil sec rule destroy

目的

セキュリティ・ルールを削除します。

構文および説明

acfsutil sec rule destroy -h
acfsutil sec rule destroy rule -m mount_point

acfsutil sec rule destroy -hは、ヘルプ・テキストを表示して終了します。

表16-72に、acfsutil sec rule destroyコマンドで使用可能なオプションを示します。

表16-72 acfsutil sec rule destroyコマンドのオプション

オプション 説明

rule

ルールの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

acfsutil sec rule destroyはマウント・ポイントで指定したOracle ACFSファイルシステムのルール・セットからルールを削除します。すべてのルールが破棄されてもルール・セットは破棄されません。空のルール・セットは明示的に破棄する必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec rule destroyコマンドの使用例を示します。

例16-69 acfsutil sec rule destroyコマンドの使用方法

$ /sbin/acfsutil sec rule destroy my_security_rule -m /acfsmounts/acfs1

acfsutil sec rule edit

目的

セキュリティ・ルールを更新します。

構文および説明

acfsutil sec rule edit -h
acfsutil sec rule edit rule -m mount_point 
     { [-t rule_type rule_value ] [-o {ALLOW|DENY}] }

acfsutil sec rule edit -hは、ヘルプ・テキストを表示して終了します。

表16-73に、acfsutil sec rule editコマンドで使用可能なオプションを示します。

表16-73 acfsutil sec rule editコマンドのオプション

オプション 説明

rule

ルールの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-t rule_type rule_value

ルールのタイプとルールの値を指定します。ルールのタイプには、applicationhostnametimeまたはusernameを指定できます。ルールの値はルールのタイプによって異なります。ルールのタイプとルールの値の詳細は、acfsutil sec rule createを参照してください。

-o option

-oを先頭に付けてオプションを指定します。指定できるオプションはALLOWまたはDENYです。

acfsutil sec rule editはルールを更新します。ルールに関連付けられた値は更新できますが、ルール・タイプは更新できません。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec rule editコマンドを使用してmy_security_ruleを更新する例を示します。タイプusernameの既存のルールおよびその値は変更できません。

例16-70 acfsutil sec rule editコマンドの使用方法

$ /sbin/acfsutil sec rule edit my_security_rule -m /acfsmounts/acfs1
      -t username security_user_three -o ALLOW

acfsutil sec ruleset clone

目的

セキュリティ・ルール・セットをクローン化します。

構文および説明

acfsutil sec ruleset clone -h
acfsutil sec ruleset clone ruleset -s mount_point  new_ruleset
acfsutil sec ruleset clone ruleset -s mount_point 
      [new_ruleset] -d mount_point

acfsutil sec ruleset clone -hは、ヘルプ・テキストを表示して終了します。

表16-74に、acfsutil sec ruleset cloneコマンドで使用可能なオプションを示します。

表16-74 acfsutil sec ruleset cloneコマンドのオプション

オプション 説明

rule_set

ルール・セットの既存の名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-s mount_point

ソース・ファイルシステムがマウントされるディレクトリを指定します。

-d mount_point

ファイルシステムの宛先マウント・ポイントのディレクトリを指定します。

new_rule_set

ルール・セットの新しい名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

ソース・マウント・ポイントが宛先マウント・ポイントと異なる場合、ルール・セット内のルールが最初にクローン化される必要があります。

ソースとマウント・ポイントが異なり、新しいルール・セット名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイルシステム内の既存のルール・セット名を使用してルール・セットがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルール・セットはソース・マウント・ポイントに配置され、新しい一意のルール・セット名を指定する必要があります。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec ruleset cloneコマンドの使用例を示します。

例16-71 acfsutil sec ruleset cloneコマンドの使用方法

$ /sbin/acfsutil sec ruleset clone 
      my_security_ruleset -s /acfsmounts/acfs1
      my_new_security_ruleset -d /acfsmounts/acfs2

acfsutil sec ruleset create

目的

セキュリティ・ルール・セットを作成します。

構文および説明

acfsutil sec ruleset create -h
acfsutil sec ruleset create rule_set -m mount_point 
        [-o {ALL_TRUE|ANY_TRUE}]

acfsutil sec ruleset create -hは、ヘルプ・テキストを表示して終了します。

表16-75に、acfsutil sec ruleset createコマンドで使用可能なオプションを示します。

表16-75 acfsutil sec ruleset createコマンドのオプション

オプション 説明

rule_set

ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-o option

-oを先頭に付けてオプションを指定します。指定できるオプションはALL_TRUEまたはANY_TRUEです。デフォルト値はALL_TRUEです。

acfsutil sec ruleset createは指定したマウント・ポイントに新しいルール・セットを作成します。

最大500のOracle ACFSセキュリティ・ルール・セットを作成できます。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec ruleset createコマンドの使用例を示します。

例16-72 acfsutil sec ruleset createコマンドの使用方法

$ /sbin/acfsutil sec ruleset create 
       my_security_ruleset -m /acfsmounts/acfs1 -o ANY_TRUE

acfsutil sec ruleset destroy

目的

セキュリティ・ルール・セットを削除します。

構文および説明

acfsutil sec ruleset destroy -h
acfsutil sec ruleset destroy rule_set -m mount_point

acfsutil sec ruleset destroy -hは、ヘルプ・テキストを表示して終了します。

表16-76に、acfsutil sec ruleset destroyコマンドで使用可能なオプションを示します。

表16-76 acfsutil sec ruleset destroyコマンドのオプション

オプション 説明

rule_set

ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

acfsutil sec ruleset destroyはマウント・ポイントで指定したOracle ACFSファイルシステムからルール・セットを削除します。セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec ruleset destroyコマンドの使用例を示します。

例16-73 acfsutil sec ruleset destroyコマンドの使用方法

$ /sbin/acfsutil sec ruleset destroy 
       my_security_ruleset -m /acfsmounts/acfs1

acfsutil sec ruleset edit

目的

セキュリティ・ルール・セットを更新します。

構文および説明

acfsutil sec ruleset edit -h
acfsutil sec ruleset edit rule_set -m mount_point 
    { [-a rule,...] [-d rule,...] [-o {ALL_TRUE|ANY_TRUE}]}

acfsutil sec ruleset edit -hは、ヘルプ・テキストを表示して終了します。

表16-77に、acfsutil sec ruleset editコマンドで使用可能なオプションを示します。

表16-77 acfsutil sec ruleset editコマンドのオプション

オプション 説明

rule_set

ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符(" ")で囲みます。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-a rule

追加するルールを指定します。

-d rule

削除するルールを指定します。

-o option

-oを先頭に付けてオプションを指定します。指定できるオプションはALL_TRUEまたはANY_TRUEです。

acfsutil sec ruleset editはマウント・ポイントで指定したOracle ACFSファイルシステムのルール・セットを更新します。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec ruleset editコマンドの使用例を示します。

例16-74 acfsutil sec ruleset editコマンドの使用方法

$ /sbin/acfsutil sec ruleset edit 
       my_security_ruleset -m /acfsmounts/acfs1 
       -a my_new_rule -o ANY_TRUE

acfsutil sec save

目的

Oracle ACFSファイルシステム・セキュリティ・メタデータを保存します。

構文および説明

acfsutil sec save -h
acfsutil sec save -m mount_point -p file

acfsutil sec save -hは、ヘルプ・テキストを表示して終了します。

表16-78に、acfsutil sec saveコマンドで使用可能なオプションを示します。

表16-78 acfsutil sec saveコマンドのオプション

オプション 説明

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-p file

セキュリティ・メタデータを保存するファイル名を指定します。ファイルは/mount_point/.Security/backup/ディレクトリに保存されます。

acfsutil sec saveコマンドを実行してOracle ACFSファイルシステムのセキュリティ・メタデータをXMLファイルに保存します。デフォルトで、ファイルは/mount_point/.Security/backupディレクトリに保存されます。

このファイルはバックアップ・アプリケーションにより通常のファイルとしてバックアップできます。システム・レルムはこのファイルを保護し、そのレルムのメンバーだけがこのファイルにアクセスでき、rootユーザーやシステム管理者を含むその他のすべてのユーザーはアクセスできません。システム作成のセキュリティ・レルムの詳細は、acfsutil sec prepareを参照してください。

セキュリティ管理者のみがこのコマンドを実行できます。

次に、acfsutil sec saveコマンドの使用例を示します。

例16-75 acfsutil sec saveコマンドの使用方法

$ /sbin/acfsutil sec save -m /acfsmounts/acfs1 -p my_metadata_file.xml