pfedit - 管理ファイルのファイルごとに承認された編集
pfedit [-r] [-s] file
pfedit コマンドを使用すると、承認されたユーザーはシステム構成ファイルを編集できます。file 引数は、編集されるファイルのパス名です。file が絶対パス名でない場合は、現在の作業ディレクトリのパス名が先頭に付加され、以降のすべての処理はそれが引数であるかのように続行されます。呼び出し元ユーザーには、承認 solaris.admin.edit/path_to_file または包括的な承認 solaris.admin.edit が必要です。pfedit コマンドではシンボリックリンクを使用できますが、そのためには、ファイルの realpath(3C) に対する承認があるかどうかもチェックします。
pfedit コマンドは、呼び出し元ユーザーが所有するファイルのコピーを作成してから、呼び出し元ユーザーの ID と特権を使ってそのファイルに対するエディタを呼び出します。デフォルトのエディタは /usr/bin/vi ですが、EDITOR または VISUAL 環境変数 (両方が設定されている場合は VISUAL が優先される) を使って選択することもできます。ユーザーがエディタを終了するときに、コピーされたファイルが更新されている場合は、その更新内容が自動的にファイルに適用されます。ファイルの随意アクセス属性 (所有者、グループ、アクセス権、および ACL) は、元のファイルのシステム属性や拡張属性とともにすべて保持されます。どの場合でも、pfedit の終了前に、ユーザーが所有するファイルのコピーが削除されます。
ファイルが存在しない場合は、所有者の root、グループの root を使ってファイルが作成されます。ファイルアクセス権は、–s オプションが選択されないかぎり、644 (-rw-r--r--) になり、その後ファイルアクセス権は 600 (-rw-------) になります。作成後は、前述の操作がそのファイルに適用されます。pfedit を使用したファイルの作成および変更が完了している場合、–r オプションを使用してファイルを削除できます。
pfedit コマンドはファイルに随意ロックを設定するので、pfedit による同時更新は禁止されています。
pfedit コマンドは、ほかのファイルへのハードリンクを壊さないように注意します。原子更新では既存のファイルを、更新内容の含まれる新しいものに置き換える必要があるため、pfedit はリンク数が 1 を超えるファイルの操作を拒否します。
pfedit コマンドは、テキストファイルの編集に限定されているため、テキスト以外の文字 (NUL) を含む更新を受け入れません。
構成によっては、更新が成功した際に、承認なしでの使用が試みられたり、エラーが発生した場合に、監査レコードが生成されて、被認証者、ファイル名、使用された承認、ファイルの変更 (存在する場合)、および操作の成功または失敗が取得されたりするようにできます。監査イベントのタイプとデフォルトクラスは次のいずれかです。
AUE_admin_edit:edit administrative file:as AUE_admin_file_create:create administrative file:as AUE_admin_file_remove:remove administrative file:as
次のオプションがサポートされています。
Remove specified file (if file has been created by pfedit).
Mark a file "sensitive" (only valid when creating a file with pfedit).The file will be created with 0600 permissions and will have the "sensitive" System Attribute.
/etc/syslog.conf を変更するためにユーザーに割り当てることができる solaris.admin.edit 承認を使用してプロファイルを作成するには、profiles(1) コマンドを使用します。
% profiles -p "syslog Configure" profiles: syslog Configure> set auths=solaris.admin.edit/etc/syslog.conf profiles: syslog Configure> set desc="Edit syslog configuration" profiles: syslog Configure> exit使用例 2 Modifying /etc/syslog.conf
ユーザーが前の例で構成された「syslog Configure」プロファイルを持っている場合、次を呼び出すと:
# pfedit /etc/syslog.conf
...そのユーザーが所有する /etc/syslog.conf のコピーが作成され、そのユーザーとしてそのコピーに対して実行される /usr/bin/vi がデフォルトで呼び出されます。ユーザーがそのエディタを終了すると、ユーザーが保存した内容で /etc/syslog.conf が原子的に更新されます。
pfedit コマンドは、正常終了した場合は 0、操作の一部が失敗した場合は 0 以外の終了値を保持します。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
auths(1)、passwd(1)、profiles(1)、fgetattr(3C)、realpath(3C)、attributes(7)、fsattr(7)、groupadd(8)、groupdel(8)、groupmod(8)、useradd(8)、userdel(8)、usermod(8)
Oracle Solaris には、pfedit および solaris.admin.edit/path_to_file 承認の使用が推奨されていない管理構成ファイルが含まれています。ドメイン固有でより安全な代替コマンドがあります。たとえば、/etc/passwd 、/etc/shadow、または /etc/user_attr ファイルには、代わりに passwd(1)、useradd(8)、userdel(8)、または usermod(8) を使用してください。/etc/group ファイルには、代わりに groupadd(8)、groupdel(8)、または groupmod(8) を使用してください。/etc/security/auth_attr 、/etc/security/exec_attr、または /etc/security/prof_attr を更新する場合は、profiles(1) コマンドが推奨されます。
一部の構成ファイルの内容を変更する機能を使用すると、ユーザーに割り当てられた特権を昇格させることができます。そのようなファイルを編集するための承認、またはそのような承認を含むプロファイルの割り当ては、完全な特権付きのアクセスを提供するのと同等であるとみなされます。
Files with the "sensitive" System Attribute, including those created with the –s option, do not have the contents or content changes included in the audit record.
The –s option and special handling of files with the "sensitive" System Attribute was added in Oracle Solaris 11.2.0.
The pfedit command was added in Oracle Solaris 11.1.0.