セキュリティ用のOracle ACFSコマンドライン・ツール
このトピックでは、Oracle ACFSセキュリティ用コマンドの概要を示します。
表16-52に、Oracle ACFSセキュリティ・コマンドと簡単な説明を示します。Oracle ACFSセキュリティの概要は、「Oracle ACFSセキュリティ」を参照してください。
Oracle ACFS acfsutilコマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」を参照してください。
ノート:
Oracle ACFS 19c (19.5)以降では、Oracle ACFSセキュリティ(Vault)およびACFS監査は非推奨になりました。特定のクラスタ機能を非推奨にし、制限付きの採用とすることにより、オラクル社では、すべての機能の中核となるスケーリング、可用性および管理性の向上に注力できます。*Oracle ACFSセキュリティ(Vault)およびOracle ACFS監査は非推奨であり、将来のリリースでサポートされなくなる可能性があります。
表16-52 Oracle ACFSセキュリティ用のコマンドの概要
| コマンド | 説明 |
|---|---|
|
セキュリティ管理者を追加します。 |
|
|
Oracle ACFSセキュリティ管理者をリストします。 |
|
|
セキュリティ管理者のパスワードを変更します。 |
|
|
セキュリティ管理者を削除します。 |
|
|
バッチ・ファイルを実行します。 |
|
|
Oracle ACFSセキュリティを無効にします。 |
|
|
Oracle ACFSセキュリティを有効にします。 |
|
|
Oracle ACFSファイル・システム・セキュリティ情報を表示します。 |
|
|
指定したファイルまたはディレクトリが属するセキュリティ・レルムをリストします。 |
|
|
Oracle ACFSファイル・システム・セキュリティを初期化します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・メタデータをロードします。 |
|
|
セキュリティ用にOracle ACFSファイル・システムを準備します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・レルムにオブジェクトを追加します。 |
|
|
Oracle ACFSセキュリティ・レルム内のファイルに対するコマンド・ルールの監査を無効にします。 |
|
|
Oracle ACFSセキュリティ・レルム内のファイルに対するコマンド・ルールの監査を有効にします。 |
|
|
指定したOracle ACFSセキュリティ・レルムのレルム監査情報を表示します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・レルムをクローン化します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・レルムを作成します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・レルムからオブジェクトを削除します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・レルムを削除します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・ルールをクローン化します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・ルールを作成します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・ルールを削除します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・ルールを更新します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・ルール・セットをクローン化します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・ルール・セットを作成します。 |
|
|
Oracle ACFSファイル・システム・ルール・セットを削除します。 |
|
|
Oracle ACFSファイル・システム・ルール・セットを更新します。 |
|
|
Oracle ACFSファイル・システム・セキュリティ・メタデータを保存します。 |
acfsutil sec admin add
目的
Oracle ACFSファイル・システムの新しいセキュリティ管理者を追加します。
構文および説明
acfsutil sec admin add -h
acfsutil sec admin add adminacfsutil sec admin add -hは、ヘルプ・テキストを表示して終了します。
表16-53に、acfsutil sec admin addコマンドで使用可能なオプションを示します。
表16-53 acfsutil sec admin addコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
セキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム・ユーザーであり、 Windowsでは、セキュリティ管理者ユーザー名は |
セキュリティ管理者はクラスタ内のすべてのOracle ACFSファイル・システムで共通です。一時パスワードを新しいセキュリティ管理者に与える必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。
新しいセキュリティ管理者はacfsutil sec admin passwordコマンドを使用してパスワードを変更できます。詳細は、「acfsutil sec admin password」を参照してください。
セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイル・システムのすべてのディレクトリを参照できます。この例外により、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。
既存のセキュリティ管理者のみがこのコマンドを使用できます。
例
次に、acfsutil sec admin addコマンドの使用例を示します。
例16-47 acfsutil sec admin addコマンドの使用方法
$ /sbin/acfsutil sec admin add sec_admin_three
acfsutil sec admin info
目的
Oracle ACFSセキュリティ管理者のリストを表示します。
構文および説明
acfsutil -h sec admin info acfsutil sec admin info
acfsutil sec admin info -hは、ヘルプ・テキストを表示して終了します。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec admin infoコマンドの使用例を示します。
例16-48 acfsutil sec info passwordコマンドの使用方法
$ /sbin/acfsutil sec admin info
acfsutil sec admin password
目的
Oracle ACFSファイル・システムのセキュリティ管理者のパスワードを変更します。
構文および説明
acfsutil sec admin password -h acfsutil sec admin password
acfsutil sec admin password -hは、ヘルプ・テキストを表示して終了します。
acfsutil sec admin passwordコマンドは、コマンドを実行している管理者のセキュリティ・パスワードを変更します。このコマンドを実行するときに、新しいパスワードの入力を求められます。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。
セキュリティ管理者はacfsutil secコマンドを実行するたびに、セキュリティ管理者のパスワードを求められます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec admin passwordコマンドの使用例を示します。
例16-49 acfsutil sec admin passwordコマンドの使用方法
$ /sbin/acfsutil sec admin password ACFS Security administrator password: New password: Re-enter new password:
acfsutil sec admin remove
目的
Oracle ACFSファイル・システムのセキュリティ管理者を削除します。
構文および説明
acfsutil sec admin remove -h
acfsutil sec admin remove adminacfsutil sec admin remove -hは、ヘルプ・テキストを表示して終了します。
表16-54に、acfsutil sec admin removeコマンドで使用可能なオプションを示します。
表16-54 acfsutil sec admin removeコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
既存のセキュリティ管理者のユーザー名を指定します。 Windowsでは、セキュリティ管理者ユーザー名は |
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec admin removeコマンドの使用例を示します。
例16-50 acfsutil sec admin removeコマンドの使用方法
$ /sbin/acfsutil sec admin remove sec_admin_three
acfsutil sec batch
目的
指定したバッチ・ファイルを実行します。
構文および説明
acfsutil sec batch -h
acfsutil sec batch batch_fileacfsutil sec batch -hは、ヘルプ・テキストを表示して終了します。
表16-55に、acfsutil sec batchコマンドで使用可能なオプションを示します。
表16-55 acfsutil sec batchコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
既存のバッチ・ファイル名を指定します。バッチファイルには |
バッチ・ファイルにはセキュリティ・レルム管理コマンドのみを含めることができます。対話型コマンドはお薦めしません。acfsutil sec admin add、acfsutil sec admin password、およびacfsutil sec initコマンドはバッチ・ファイルでサポートされません。また、acfsutil encrコマンドなどのその他のacfsutilも、バッチ・ファイルに含めることはできません。バッチ・ファイルでコマンドが失敗すると、バッチ・ファイル内のその後のコマンドは実行されません。
次にバッチ・ファイルに含めることのできるコマンドの例を示します。
acfsutil sec realm create my_realm1 -m /mnt1 -e off acfsutil sec realm create my_realm2 -m /mnt2 -e off
セキュリティ管理者のみがこのコマンドを実行できます。コマンドを実行するときに、管理者は一度パスワードを求められます。
例
次に、acfsutil sec batchコマンドの使用例を示します。
例16-51 acfsutil sec batchコマンドの使用方法
$ /sbin/acfsutil sec batch my_batch_file
acfsutil sec disable
目的
マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを無効にします。
構文および説明
acfsutil sec disable -h acfsutil sec disable -m mount_point [-S snap_name] [realm]
acfsutil sec disable -hは、ヘルプ・テキストを表示して終了します。
表16-56に、acfsutil sec disableコマンドで使用可能なオプションを示します。
表16-56 acfsutil sec disableコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
指定した読取り-書込みスナップショットに対するセキュリティ機能を無効にします。 |
|
|
Oracle ACFSファイル・システムのセキュリティ・レルムの名前を指定します。 |
acfsutil sec disable -m mount_pointコマンドは、マウント・ポイント・オプションで指定したOracle ACFSファイル・システムでセキュリティ機能を無効にします。ファイル・システムでセキュリティが無効になると、セキュリティ・レルムはレルム認証を行いません。
acfsutil sec disable -m mount_point realmコマンドは、コマンドで指定したレルムのセキュリティ機能を無効にします。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec disableコマンドの使用例を示します。
例16-52 acfsutil sec disableコマンドの使用方法
$ /sbin/acfsutil sec disable -m /acfsmounts/acfs1 my_realm
acfsutil sec enable
目的
マウント・ポイントまたはマウント・ポイントのレルムでOracle ACFSセキュリティを有効にします。
構文および説明
acfsutil sec enable -h acfsutil sec enable -m mount_point [-S snap_name] [realm]
acfsutil sec enable -hは、ヘルプ・テキストを表示して終了します。
表16-57に、acfsutil sec enableコマンドで使用可能なオプションを示します。
表16-57 acfsutil sec enableコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
指定した読取り-書込みスナップショットに対するセキュリティ機能を有効にします。 |
|
|
セキュリティ・レルムの名前を指定します。 |
acfsutil sec enable -m mount_pointコマンドは、マウント・ポイント・オプションで指定したOracle ACFSファイル・システムでセキュリティ機能を有効にします。ファイル・システムでセキュリティが有効になると、有効になったセキュリティ・レルムはレルム認証を行います。個別のセキュリティ・レルムを有効にする前に、このコマンドを実行する必要があります。
acfsutil sec enable -m mount_point realmコマンドは、コマンドで指定したレルムのセキュリティ機能を有効にします。ファイル・システムでセキュリティが有効になると、レルムは認証を行います。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec enableコマンドの使用例を示します。
例16-53 acfsutil sec enableコマンドの使用方法
$ /sbin/acfsutil sec enable -m /acfsmounts/acfs1 $ /sbin/acfsutil sec enable -m /acfsmounts/acfs1 my_realm
acfsutil sec info
目的
Oracle ACFSセキュリティに関する情報を表示します。
構文および説明
acfsutil sec info -h acfsutil sec info -m mount_point [{-n [realm] | -l [rule] |-s [ruleset] |-c }] [-S snap_name]
acfsutil sec info -hは、ヘルプ・テキストを表示して終了します。
表16-58に、acfsutil sec infoコマンドで使用可能なオプションを示します。
表16-58 acfsutil sec infoコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
指定したセキュリティ・レルムに関する情報を表示します。レルム名を省略すると、すべてのレルムのリストが表示されます。 |
|
|
指定したルールに関する情報を表示します。ルール名を省略すると、すべてのルールのリストが表示されます。 |
|
|
指定したルール・セットに関する情報を表示します。ルール・セット名を省略すると、すべてのルール・セットのリストが表示されます。 |
|
|
すべてのコマンド・ルールをリストします。 |
|
|
指定したスナップショット内のレルム、ルールおよびルール・セットについての情報を表示します。 |
acfsutil sec infoコマンドは、指定したマウント・ポイントのレルム、ルールおよびルール・セットのリストに関する情報を取得します。特定のレルム、ルールまたはルール・セットを指定することで、指定したレルム、ルールまたはルール・セットに特有の情報を取得できます。指定したスナップショットについての情報も表示できます。
-mオプションを指定して他のオプションを指定しない場合、指定したマウント・ポイントのセキュリティの有効状態および準備状態が表示されます。
システム・セキュリティ・レルム内のファイルにアクセスするには、acfsutil sec admin addコマンドを使用して、セキュリティ管理者としてユーザーを割り当てる必要があります。セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec infoコマンドの使用例を示します。
例16-54 acfsutil sec infoコマンドの使用方法
$ /sbin/acfsutil sec info -m /acfsmounts/acfs1 -n my_realm
acfsutil sec info file
目的
指定したファイルまたはディレクトリが属するOracle ACFSセキュリティ・レルムの名前をリストします。
構文および説明
acfsutil sec info file -h acfsutil sec info file -m mount_point path
acfsutil sec info file -hは、ヘルプ・テキストを表示して終了します。
表16-59に、acfsutil sec info fileコマンドで使用可能なオプションを示します。
表16-59 acfsutil sec info fileコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
ファイル・システム内のファイルまたはディレクトリのパスを指定します。 |
このコマンドではファイルの暗号化状態も表示できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec info fileコマンドの使用例を示します。
例16-55 acfsutil sec info fileコマンドの使用方法
$ /sbin/acfsutil sec info file -m /acfsmounts/acfs1
/acfsmounts/acfs1/myfilesacfsutil sec init
目的
Oracle ACFSセキュリティを初期化します。
構文および説明
acfsutil sec init -h acfsutil sec init -u admin -g admin_sec_group
acfsutil sec init -hは、ヘルプ・テキストを表示して終了します。
表16-60に、acfsutil sec initコマンドで使用可能なオプションを示します。
表16-60 acfsutil sec initコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
最初のセキュリティ管理者のユーザー名を指定します。指定するユーザーは、既存のオペレーティング・システム(OS)ユーザーであり、 Windowsでは、セキュリティ管理者ユーザー名は |
|
|
管理者のセキュリティ・グループの名前を指定します。指定するグループは、既存のオペレーティング・システム(OS)グループである必要があります。 Windowsでは、グループ名は |
acfsutil sec initコマンドは、セキュリティ資格証明に必要なストレージを作成し、オペレーティング・システム・ユーザーを最初のセキュリティ管理者として識別します。コマンドはまた、指定されたセキュリティ・グループであるオペレーティング・システム・グループを識別します。セキュリティ管理者であるすべてのユーザーは、指定されたセキュリティ・グループのメンバーである必要があります。セキュリティ管理者はすべてのOracle ACFSファイル・システムで共通です。
OSユーザーおよびOSグループを設定する場合、詳細はオペレーティング・システム(OS)固有のドキュメントを参照してください。
acfsutil sec initコマンドは、1度実行されて各クラスタに対しOracle ACFSセキュリティが設定されれば、クラスタ内の任意のノードから実行できます。他のセキュリティ・コマンドもクラスタ内の任意のノードから実行できます。
rootユーザーまたはWindowsのAdministratorユーザーのみがこのコマンドを実行できます。ユーザーはセキュリティ管理者のパスワードを指定します。セキュリティ管理者パスワードは次の形式に従う必要があります。
-
最大文字数は20です。
-
最小文字数は8です。
-
パスワードには少なくとも1つの数字が含まれる必要があります。
-
パスワードには少なくとも1つの文字が含まれる必要があります。
新しいセキュリティ管理者はacfsutil sec admin passwordコマンドを使用してパスワードを変更できます。詳細は、「acfsutil sec admin password」を参照してください。
セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイル・システムのすべてのディレクトリを参照できます。この例外により、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。
例
次に、acfsutil sec initコマンドの使用例を示します。
例16-56 acfsutil sec initコマンドの使用方法
$ /sbin/acfsutil sec init -u grid -g asmadmin
acfsutil sec load
目的
Oracle ACFSセキュリティ・メタデータをマウント・ポイントで識別したファイル・システムにロードします。
構文および説明
acfsutil sec load -h acfsutil sec load -m mount_point -p file
acfsutil sec load -hは、ヘルプ・テキストを表示して終了します。
表16-61に、acfsutil sec loadコマンドで使用可能なオプションを示します。
表16-61 acfsutil sec loadコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
既存の保存されたセキュリティ・メタデータ・ファイルの名前を指定します。 |
acfsutil sec loadコマンドは、保存されたXMLファイル内のセキュリティ・メタデータを指定のOracle ACFSファイル・システムにロードします。acfsutil sec loadコマンドは、ユーザーが作成したセキュリティ・ポリシーのリストアのみを行い、ファイルをレルムに追加しません。
acfsutil sec loadとacfsutil sec saveを一緒に使用すると、ユーザーが作成したポリシーをファイル・システム間でコピーできます。たとえば、あるファイル・システムに、別のファイル・システムにレプリケートするセキュリティ・ポリシーがある場合、ソース・ファイル・システムでacfsutil sec saveを使用し、XMLバックアップ・ファイルを作成します。次に、宛先となる別のファイル・システムでacfsutil sec loadを使用して、保存したセキュリティ・メタデータをロードして同じポリシーを作成します。ポリシーの作成後、設定するポリシーに応じて、ディレクトリおよびファイルを異なるレルムに追加することで、そのファイル・システムの様々なディレクトリおよびファイルにポリシーを適用することもできます。
acfsutil sec loadコマンドを実行するには、ロード先のマウント・ポイントに、セキュリティ用に用意されたファイル・システムがあり、ユーザー作成のセキュリティ・オブジェクトが含まれない必要があります。
ロード先マウント・ポイントにマウントされたファイル・システムにセキュリティ・オブジェクトが含まれる場合、acfsutil sec prepare -uを実行して、ファイル・システムに作成済のすべてのセキュリティ・オブジェクトを削除する必要があります。acfsutil sec prepare -uを正常に実行した後、acfsutil sec prepareを実行して、セキュリティ用のファイル・システムを準備します。acfsutil sec prepareを正常に実行した後で、ファイル・システムでacfsutil sec loadを実行できます。ファイル・システムでのセキュリティの準備またはファイル・システムからのセキュリティの削除の詳細は、「acfsutil sec prepare」を参照してください。
acfsutil sec loadコマンドではバックアップ・ファイルからシステム・セキュリティ・レルムをロードできません。システム・セキュリティ・レルムはacfsutil sec prepareコマンドを使用して作成されます。acfsutil sec loadはこれらのレルムを再作成しません。システム作成のセキュリティ・レルムの詳細は、「acfsutil sec prepare」を参照してください。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec loadコマンドの使用例を示します。
例16-57 acfsutil sec loadコマンドの使用方法
$ /sbin/acfsutil sec load -m /acfsmounts/acfs1 -p my_metadata_file.xml
acfsutil sec prepare
目的
セキュリティ機能用にOracle ACFSファイル・システムを準備します。
構文および説明
acfsutil sec prepare -h
acfsutil sec prepare [-u] -m mount_pointacfsutil sec prepare -hは、ヘルプ・テキストを表示して終了します。
表16-62に、acfsutil sec prepareコマンドで使用可能なオプションを示します。
表16-62 acfsutil sec prepareコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
指定したマウント・ポイントのセキュリティを取り消します。 このコマンドは、ファイル・システムからセキュリティを削除し、ファイル・システムで このコマンドはすべてのレルム保護されたファイルおよびディレクトリをレルムから削除し、すべてのOracle ACFSセキュリティ・ルール、ルール・セットおよびレルムをファイル・システムから破棄します。しかし、 使用中の暗号化およびセキュリティを削除する場合、このコマンドは暗号化を取り消してから実行する必要があります。暗号化を取り消すには、「acfsutil encr set」を参照してください。 |
レルム管理コマンドを実行する前に、acfsutil sec prepareコマンドを実行する必要があります。このコマンドはセキュリティ用に指定したOracle ACFSファイル・システムを準備し、デフォルトでファイル・システムのセキュリティをオンにします。
acfsutil sec prepare -uを実行する際には、acfsutil sec prepareが完了するまで、他のOracle ACFSセキュリティ・コマンドが実行されていないことを確認してください。
監査がクラスタで初期化された場合、このコマンドによって、ファイル・システム上のOracle ACFSセキュリティの監査ソースも有効化されます。この監査ソースを有効にしたときに実行されるアクションは、acfsutil audit enableコマンドを直接実行したときに行われるアクションと同じです。詳細は、「acfsutil audit enable」を参照してください。
このコマンドは、/mount_point/.Security、/mount_point/.Security/backupおよび/mount_point/.Security/realm/logsディレクトリを作成します。ここで、mount_pointは、コマンドラインで指定するオプションです。
このコマンドでは次のシステム・セキュリティ・レルムを作成します。
-
SYSTEM_Logsこれはシステムが作成するレルムで
.Security/realm/logs/ディレクトリ内のOracle ACFSセキュリティ・ログ・ファイルを保護します。 -
SYSTEM_Auditこれはシステム生成のレルムで、監査証跡ファイルを保護します。このレルムは、監査が初期化された場合に作成されます。監査が初期化されない場合、
acfsutilauditenableコマンドによってセキュリティ・ソースに対して監査が有効化されたときに、作成されます。監査マネージャがファイルの読取りと書込みを、監査者がファイルの読取りを行うことができ、他にアクセス可能なユーザーがいないように、このレルムは監査証跡ファイルを保護します。また、このレルムは、監査マネージャがファイルの削除(acfsutilauditpurgeコマンドを実行せずに)、切捨て、上書きまたは権限変更を行うことができないように、監査証跡ファイルを保護します。 -
SYSTEM_SecurityMetadataこれはシステム生成のレルムで
.Security/realm/logs/ディレクトリ内のOracle ACFSメタデータXMLファイルを保護します。 -
SYSTEM_Antivirusこれは、Oracle ACFSファイル・システム上で実行中のウィルス対策ソフトウェアにアクセスできる、システム作成のレルムです。すべてのレルム保護されたファイルまたはディレクトリについては、
SYSTEM_Antivirusレルムがファイルまたはディレクトリにアクセスできるかどうかを決定するために認可チェックが実行されるときに、SYSTEM_Antivirusレルムが評価されます。レルム保護されたファイルまたはディレクトリにアクセスするためにウィルス対策処理を許可するには、例16-59に示すように、
acfsutilsecrealmaddコマンドでLocalSystemまたはSYSTEMグループをレルムに追加する必要があります。その他のウィルス対策処理がAdministratorとして実行中の場合、Administratorユーザーはレルム保護されたファイルとディレクトリにアクセスできるようにSYSTEM_Antivirusレルムに追加される必要があります。ウィルス対策製品がインストールされていない場合、ユーザーまたはグループを
SYSTEM_Antivirusレルムに追加することはできません。SYSTEM_Antivirusレルムに追加されたユーザーまたはグループにはREADとREADDIRのアクセスがあるため、このレルムに追加されるユーザーまたはグループを制限します。このレルムのユーザーまたはグループがレルム保護されたファイルまたはディレクトリに時間ベースのルールでアクセスできるときに、時間ウィンドウを制限できます。ファイルをスキャンするウィルス対策インストールにプロセス名を特定できる場合、アプリケーションベースのルールも持つこともできます。SYSTEM_Antivirusレルムのみがファイルまたはディレクトリ上でOPEN、READ、READDIRおよび時間属性の設定の操作を実行できます。ファイルまたはディレクトリを削除するために、セキュリティを無効化して影響を受けるファイルをクリーンアップする必要がある場合があります。このレルムはWindowsシステムにのみ設定されます。
-
SYSTEM_BackupOperatorsこれはシステム生成のレルムで、レルム保護されたファイルおよびディレクトリをバックアップできるユーザーを認証できます。ユーザー・グループ、ルール・セットおよびコマンド・ルールをこのレルムに追加して、レルム保護されたファイルおよびディレクトリをバックアップするための密な認証を可能にします。レルム保護されたファイルおよびディレクトリをバックアップするには、ユーザーをこのレルムに追加する必要があります。
このシステム・レルムにグループを追加する場合は注意が必要です。このシステム・レルムにグループを追加すると、追加したグループのすべてのユーザーは、レルムの保護をオーバーライドしてファイルにアクセスできるようになります。
システム・セキュリティ・レルム内のファイルにアクセスするには、acfsutil sec admin addコマンドを使用して、セキュリティ管理者としてユーザーを割り当てる必要があります。
ユーザー作成のレルムと同様に、acfsutil sec realm addコマンドを使用して、ユーザー、グループ、ルール・セットおよびコマンド・ルールをシステム作成のレルムに追加できます。ただし、ファイルおよびディレクトリをシステム・レルムに追加することはお薦めしません。acfsutil sec realm deleteコマンドを使用して、システム作成のレルムからオブジェクトを削除します。
システム作成のセキュリティ・レルムは、システム管理者がacfsutil sec admin destroyコマンドを使用して削除できません。これらのレルムは、acfsutil sec prepareコマンドを-uオプションを指定して実行する際に、セキュリティがファイル・システムで取り消されるときにのみ削除されます。
スナップショットがファイル・システムに存在する場合、acfsutil sec prepare –uコマンドを使用できません。
セキュリティ管理者のみがacfsutil sec prepareコマンドを実行できます。
例
次に、acfsutil sec prepareコマンドの使用例を示します。
例16-58 acfsutil sec prepareコマンドの使用方法
$ /sbin/acfsutil sec prepare -m /acfsmounts/acfs1
acfsutil sec realm add
目的
Oracle ACFSセキュリティ・レルムにオブジェクトを追加します。
構文および説明
acfsutil sec realm add -h acfsutil sec realm add realm -m mount_point {[-u user, ...] [-G os_group,...] [-l commandrule:ruleset,commandrule:ruleset, ...] [-e [-a {AES}] [-k {128|192|256}]] [-f [ -r] path ...]}
acfsutil sec realm add -hは、ヘルプ・テキストを表示して終了します。
表16-63に、acfsutil sec realm addコマンドで使用可能なオプションを示します。
表16-63 acfsutil sec realm addコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
追加するレルム名を指定します。 |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
追加するユーザー名を指定します。 |
|
|
追加するオペレーティング・システム・グループを指定します。 |
|
|
追加するフィルタを指定します。
コマンドルールのリストについては、表16-64を参照してください。コマンド・ルールのリストを表示するには、 |
|
|
レルムで暗号化を有効にします。レルムに対して暗号化をオンにすると、レルムに含まれるすべてのファイルが暗号化されます。これらのファイルは暗号化されたレルムの一部でなくなるまで暗号化されたままです。 暗号化されたファイルは、新しく指定した暗号化パラメータと一致するように再暗号化されません。 |
|
|
レルムの暗号化アルゴリズムを指定します。 |
|
|
暗号化キー長を指定します。 |
|
|
指定したファイルがレルム保護されていない場合、ファイルはレルムの暗号化状態と一致するように暗号化または復号化されます。 |
acfsutil sec realm addコマンドは指定したレルムにオブジェクトを追加します。追加するオブジェクトは、ユーザー、グループ、コマンド・ルール、ルール・セットおよびファイルなどです。オブジェクトの追加時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。
ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。
-eオプションを指定する場合、暗号化がクラスタに対して初期化され、ファイル・システムで設定されている必要があります。詳細は、「acfsutil encr init」および「acfsutil encr set」を参照してください。
.Securityディレクトリを含むマウント・ポイント全体がレルムに追加される場合、セキュリティ管理者オペレーティング・システム・グループをレルムに追加し、セキュリティ・ログおよびバックアップ操作を管理する必要があります。
サポートしているコマンド・ルールを表16-64に示します。これらのコマンドルールで、レルム保護されたファイルおよびディレクトリ上のファイル・システム操作に対して制限または保護します。
表16-64 セキュリティ・レルムのコマンド・ルール
| ルール | 説明 |
|---|---|
|
|
ファイルおよびディレクトリ上のすべてのファイル・システム操作を保護します。 |
|
|
ファイルの最後に追加することを制限します。制限には現在のファイルサイズ内で開始する書込みが含まれますが、ファイルの最後を越えて続行されます。 |
|
|
ファイルまたはディレクトリ上のグループ所有権の変更から保護します。 |
|
|
ファイルまたはディレクトリ上の権限の変更から保護します。 |
|
|
ファイルまたはディレクトリ上の所有権情報の変更から保護します。 |
|
|
ディレクトリ内の新しいファイルの作成から保護します。 |
|
|
ディレクトリのファイルの削除から保護します。 |
|
|
ファイルサイズの拡張操作を制限します。ファイルサイズは、別の操作で変更可能な場合があります。 |
|
|
ファイルまたはディレクトリに対する
ファイルとディレクトリをセキュリティ・レルムにアーカイブするために設定できます。 |
|
|
ファイルへのハードリンクの作成を制限します。 |
|
|
ディレクトリ内で新しいディレクトリを作成することから保護します。 |
|
|
Linux上で |
|
|
書込み操作のためにメモリーがマップされることからファイルを保護します。 |
|
|
ファイルを開くことから保護します。 |
|
|
ファイル内の既存のコンテンツを、開始と終了のオフセットが現在のファイルサイズ内である ファイル上の操作で |
|
|
セキュリティ管理者グループによる使用を除いて、ディレクトリのリストを制限します。 |
|
|
ファイルのコンテンツの読取りから保護します。 |
|
|
ファイルまたはディレクトリの名前変更から保護します。 |
|
|
ディレクトリの削除から保護します。 |
|
|
セキュリティ・レルムによって保護されているディレクトリ内のシンボリック・リンクの作成を制限します。シンボリック・リンクを作成するときは、ソース・ファイルがセキュリティ・レルムによって保護されているかどうかは関係ありません。 |
|
|
ファイルの切捨てを制限します。 |
|
|
ファイルは、別の操作で変更可能な場合があります。ファイルをその他の変更から保護するには、 |
セキュリティ管理者のみがこのコマンドを実行できます。
例
例16-59に、acfsutil sec realm addコマンドの使用を示します。最初のacfsutil secコマンドがユーザー・グループをセキュリティ・レルムに追加します。Windows環境では、2番目と3番目のコマンドがLocalSystemまたはSYSTEMグループをSYSTEM_Antivirusレルムに追加します。
例16-59 acfsutil sec realm addコマンドの使用方法
$ /sbin/acfsutil sec realm add my_security_realm -m /acfsmounts/acfs1
-G my_os_group
C:\> acfsutil sec realm add SYSTEM_Antivirus /m e: /G "NT AUTHORITY\\SYSTEM"
C:\> acfsutil sec realm add SYSTEM_Antivirus /m e: /G "SYSTEM"acfsutil sec realm audit disable
目的
Oracle ACFSセキュリティ・レルム内のファイルに対して、特定のコマンド・ルールまたはすべてのコマンド・ルールの監査を無効にします。
構文および説明
acfsutil sec realm audit disable -h acfsutil sec realm audit disable realm -m mount_point [-l commandrule,commandrule,...] {-a |-v }
acfsutil sec realm audit disable -hは、ヘルプ・テキストを表示して終了します。
表16-65に、acfsutil sec realm audit disableコマンドで使用可能なオプションを示します。
表16-65 acfsutil sec realm audit disableコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
セキュリティ・レルム名を指定します。 |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
監査を無効にするコマンド・ルールを指定します。 このオプションを指定しない場合、すべてのコマンド・ルールのリストはデフォルトになります。 コマンドルールのリストについては、表16-64を参照してください。コマンド・ルールのリストを表示するには、 |
|
|
監査レルム認証を無効にする( |
コマンド・ルールをリストする場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。
セキュリティ管理者のみがこのコマンドを実行できます。このコマンドは、Oracle ACFSセキュリティ管理者パスワードを使用して認証されます。
例
例16-60に、acfsutil sec realm audit disableコマンドの使用方法を示します。このコマンドは、OPEN (すべての違反)およびWRITE (すべての違反)のコマンド・ルールでの監査を無効にします。
例16-60 acfsutil sec realm audit disableコマンドの使用方法
$ /sbin/acfsutil sec realm audit disable mySecureRealm
–m /acfsmounts/acfs1 –l OPEN,WRITE –vacfsutil sec realm audit enable
目的
Oracle ACFSセキュリティ・レルム内のファイルに対して、特定のコマンド・ルールまたはすべてのコマンド・ルールの監査を有効にします。
構文および説明
acfsutil sec realm audit enable -h acfsutil sec realm audit enable realm -m mount_point [-l commandrule,commandrule,...] [-a ] [-v [ -u] ]
acfsutil sec realm audit enable -hは、ヘルプ・テキストを表示して終了します。
表16-66に、acfsutil sec realm audit enableコマンドで使用可能なオプションを示します。
表16-66 acfsutil sec realm audit enableコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
セキュリティ・レルム名を指定します。 |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
監査を有効にするコマンド・ルールを指定します。 このオプションを指定しない場合、すべてのコマンド・ルールのリストはデフォルトになります。 コマンドルールのリストについては、表16-64を参照してください。コマンド・ルールのリストを表示するには、 |
|
|
レルム認証を監査するよう指定します。 |
|
|
レルム違反を監査するよう指定します。 |
acfsutil sec realm audit enableコマンドを複数回実行した場合、先に行われた構成は無効にならず、新しい設定も適用されます。この動作で例外が発生するのは、このコマンドを–vオプションとともに実行し、指定したコマンド・ルールにレルム違反用の監査設定がある場合です。この場合、–uフラグが指定されたかどうかに従って、動作が更新されます。詳細は、例16-63を参照してください。
コマンド・ルールをリストする場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。
acfsutil sec realm audit enableコマンドで–aと–vのどちらも指定しない場合、デフォルトは–vです。–aと–vの両方を指定できます。
セキュリティ管理者のみがこのコマンドを実行できます。このコマンドは、Oracle ACFSセキュリティ管理者パスワードを使用して認証されます。
例
例16-61に、Oracle ACFSバックアップ・オペレータの監査を有効にする方法を示します。これらのユーザーはSYSTEM_Backupレルムによってファイルへのアクセスが許可され、ファイル・システム上のすべてのファイルにアクセス権を与える特別な権限が付与されるため、セキュリティ管理者は、これらのユーザーのアクションを監査できます。コマンドを実行すると、SYSTEM_Backupレルムのメンバーはいつでも、ファイル・システム上のOracle ACFSセキュリティ監査証跡に監査レコードが書き込まれているファイルを開くことができます。
例16-61 Oracle ACFSセキュリティ・バックアップ・オペレータの監査
$ /sbin/acfsutil sec realm audit enable SYSTEM_Backup
–m /acfsmounts/acfs1 –l OPEN –a
例16-62に、–uオプションを使用して、レルムの一部であるユーザーがレルム違反を監査する方法を示します。このシナリオでは、人事管理の機密情報がHumanResourcesセキュリティ・レルムに格納され、hrグループはこの情報へのアクセスが許可されます。ただし、ALLコマンド・ルールに適用されたルールセットにより、午後6時から午前8時まではこのデータにアクセスできません。このコマンドを使用すると、セキュリティ管理者は、許可された時間外に人事管理の従業員が機密データにアクセスしようとしているかどうかを検出できます。このコマンドを実行すると、hrグループのメンバーであるユーザーによるアクセス違反のみが監査されます。
例16-62 セキュリティ・レルム・ユーザーのみの監査
$ /sbin/acfsutil sec realm audit enable HumanResources
–m /acfsmounts/acfs1 –l ALL –v –u
例16-63に、acfsutil sec realm audit enableコマンドを複数実行する方法を示します。「run 1」の後、OPEN (すべての違反)およびWRITE (すべての違反)のコマンド・ルールが監査されます。「run 2」の後、OPEN (すべての違反)、WRITE (すべての違反)、およびDELETEFILE (認証)のコマンド・ルールが監査されます。「run 3」の後、OPEN (認証およびレルム・ユーザー違反)、WRITE (すべての違反)、DELETEFILE (認証)、およびTRUNCATE (認証およびレルム・ユーザー違反)のコマンド・ルールが監査されます。「run 4」の後、すべての違反がすべてのコマンド・ルールで監査されます。また、OPEN、DELETEFILEおよびTRUNCATEの認証が監査されます。
例16-63 acfsutil sec realm audit enableの複数回の実行
$ echo run 1
$ /sbin/acfsutil sec realm audit enable mySecureRealm
–m /acfsmounts/acfs1 –l OPEN,WRITE –v
$ echo run 2
$ /sbin/acfsutil sec realm audit enable mySecureRealm
–m /acfsmounts/acfs1 –l DELETEFILE –a
$ echo run 3
$ /sbin/acfsutil sec realm audit enable mySecureRealm
-m /acfsmounts/acfs1 –l OPEN,TRUNCATE –a –v -u
$ echo run 4
$ /sbin/acfsutil sec realm audit enable mySecureRealm
–m /acfsmounts/acfs1 –vacfsutil sec realm audit info
目的
指定したOracle ACFSセキュリティ・レルムのレルム監査情報を表示します。
構文および説明
acfsutil sec realm audit info -h acfsutil sec realm audit info -m mount_point -n realm
acfsutil sec realm audit info -hは、ヘルプ・テキストを表示して終了します。
表16-66に、acfsutil sec realm audit infoコマンドで使用可能なオプションを示します。
表16-67 acfsutil sec realm audit infoコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
セキュリティ・レルム名を指定します。 |
acfsutil sec realm audit infoコマンドは、指定したOracle ACFSセキュリティ・レルムに関する情報を提供します。
例
例16-64に、acfsutil sec realm audit infoコマンドの例を示します。
例16-64 acfsutil sec realm audit infoの実行
$ /sbin/acfsutil sec realm audit info –m /acfsmounts/acfs1
-n mySecureRealm
Command rule auditing information for realm 'mySecureRealm'
on mount point '/acfsmounts/acfs1':
Realm authorization : 'READ, WRITE'
Realm violation for all users : 'READ, OPENFILE'
Realm violation for realm users: 'None' acfsutil sec realm clone
目的
Oracle ACFSセキュリティ・レルムをクローン化します。
構文および説明
acfsutil sec realm clone -h acfsutil sec realm clone realm -s src_mount_point new_realm [-e] [-f] [-G] [-l] [-u] acfsutil sec realm clone realm -s src_mount_point [new_realm] -d destination_mount_point [-e] [-G] [-l] [-u]
acfsutil sec realm clone -hは、ヘルプ・テキストを表示して終了します。
表16-68に、acfsutil sec realm cloneコマンドで使用可能なオプションを示します。
表16-68 acfsutil sec realm cloneコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
クローン化するレルム名を指定します。 |
|
|
ソース・ファイル・システムがマウントされるディレクトリを指定します。 |
|
|
新しいレルム名を指定します。 |
|
|
新しいレルムの宛先マウント・ポイントのディレクトリを指定します。 |
|
|
暗号化属性を新しいレルムにコピーします。 |
|
|
ファイル・オブジェクトを新しいレルムにコピーします。 |
|
|
オペレーティング・システム・グループを新しいレルムにコピーします。 |
|
|
フィルタを新しいレルムにコピーします。 |
|
|
ユーザーを新しいレルムにコピーします。 |
acfsutil sec realm cloneコマンドは指定したレルムのコピーを宛先マウント・ポイントに作成します。ソースとマウント・ポイントが異なり、新しいレルム名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイル・システム内の既存のレルム名を使用してレルムがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたレルムはソース・マウント・ポイントに配置され、新しい一意のレルム名を指定する必要があります。
-lオプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、ルールおよびルール・セットが最初にクローン化される必要があります。
-eオプションが指定され、宛先マウント・ポイントがソース・マウント・ポイントと異なる場合、暗号化が宛先マウント・ポイントに設定される必要があります。詳細は、「acfsutil encr set」を参照してください。
-fオプションは宛先マウント・ポイントがソース・マウント・ポイントと同じである場合にのみ使用できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec realm cloneコマンドの使用例を示します。
例16-65 acfsutil sec realm cloneコマンドの使用方法
$ /sbin/acfsutil sec realm clone my_security_realm -s /acfsmounts/acfs1
my_new_security_realm -d /acfsmounts/acfs2 -Gacfsutil sec realm create
目的
Oracle ACFSセキュリティ・レルムを作成します。
構文および説明
acfsutil sec realm create -h acfsutil sec realm create realm -m mount_point -e { on -a {AES} -k {128|192|256} | off } [-o {enable|disable}] [-d "description"]
acfsutil sec realm create -hは、ヘルプ・テキストを表示して終了します。
表16-69に、acfsutil sec realm createコマンドで使用可能なオプションを示します。
表16-69 acfsutil sec realm createコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
レルム名を指定します。 |
|
|
ファイル・システムのマウント・ポイントを指定します。マウント・ポイントはLinuxプラットフォーム上のパスとして指定します。 |
|
|
レルムの暗号化をオンまたはオフに指定します。 |
|
|
暗号化アルゴリズムを指定します。 |
|
|
暗号化キー長を指定します。 |
|
|
レルムのセキュリティをオンまたはオフに指定します。 |
|
|
レルムの説明を指定します。 |
acfsutil sec create realmは指定したOracle ACFSファイル・システムに新しいレルムを作成します。新しいレルム名はマウント・ポイントで識別されるファイル・システムで一意の名前である必要があります。
acfsutil sec prepareコマンドによって作成されたデフォルトのシステム・レルムを含む最大500のOracle ACFSセキュリティ・レルムを作成できます。
-o disableオプションが指定されていないかぎり、デフォルトでレルムは有効です。
-e onオプションを指定する場合は、暗号化をクラスタに対して初期化し、ファイル・システムに設定する必要があります。詳細は、「acfsutil encr init」および「acfsutil encr set」を参照してください。
-e offオプションを指定すると、-aおよび-kオプションは指定できません。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec realm createコマンドの使用例を示します。
例16-66 acfsutil sec realm createコマンドの使用方法
$ /sbin/acfsutil sec realm create my_security_realm -m /acfsmounts/acfs1
-e on -a AES -k 192 -o enableacfsutil sec realm delete
目的
Oracle ACFSセキュリティ・レルムからオブジェクトを削除します。
構文および説明
acfsutil sec realm delete -h acfsutil sec realm delete realm -m mount_point {[-u user, ...] [-G os_group, ...] [-l :ruleset,commandrule:ruleset, ...] [-f [ -r] path, ...] ] [-e ]}
acfsutil sec realm delete -hは、ヘルプ・テキストを表示して終了します。
表16-70に、acfsutil sec realm deleteコマンドで使用可能なオプションを示します。
表16-70 acfsutil sec realm deleteコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
レルム名を指定します。 |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
削除するユーザー名を指定します。 |
|
|
削除するオペレーティング・システム・グループを指定します。 |
|
|
レルムから削除するフィルタを指定します。コマンド・ルールのリストを表示するには、 |
|
|
これがファイルをセキュリティ保護している最後のレルムである場合、そのファイルはファイル・システム・レベルの暗号化状態と一致するように暗号化または復号化されます。 |
|
|
レルムで暗号化を無効にします。 暗号化を無効にするときに、このオプションは他の暗号化されたレルムに属していない、レルム内のファイルを復号化します。ファイルが暗号化された他のレルムの一部であるか、またはファイル・システムで暗号化がオンになる場合、そのファイルは暗号化されたままです。 |
acfsutil sec realm deleteコマンドは指定したレルムからオブジェクトを削除します。削除するオブジェクトは、ユーザー、グループ、ルール・セットおよびファイルなどです。オブジェクトの削除時にコマンドでエラーが発生した場合、メッセージが表示されて、コマンドは残りのオブジェクトの処理を続行します。
ユーザー、オペレーティング・システム・グループまたはコマンド・ルールを追加する場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec realm deleteコマンドの使用例を示します。
例16-67 acfsutil sec realm deleteコマンドの使用方法
$ /sbin/acfsutil sec realm delete my_security_realm -m /acfsmounts/acfs1
-f -r /acfsmounts/acfs1/myoldfiles/*.logacfsutil sec realm destroy
目的
Oracle ACFSセキュリティ・レルムを破棄します。
構文および説明
acfsutil sec realm destroy -h acfsutil sec realm destroy realm -m mount_point
acfsutil sec realm destroy -hは、ヘルプ・テキストを表示して終了します。
表16-71に、acfsutil sec realm destroyコマンドで使用可能なオプションを示します。
表16-71 acfsutil sec realm destroyコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
レルム名を指定します。 |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
acfsutil sec destroy realmは指定したOracle ACFSファイル・システムからセキュリティ・レルムを削除します。レルムを破棄してもレルム内のオブジェクトは破棄されません。このコマンドは、オブジェクトからレルムに関連しているセキュリティを削除するだけです。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec realm destroyコマンドの使用例を示します。
例16-68 acfsutil sec realm destroyコマンドの使用方法
$ /sbin/acfsutil sec realm destroy my_security_realm -m /acfsmounts/acfs1
acfsutil sec rule clone
目的
セキュリティ・ルールをクローン化します。
構文および説明
acfsutil sec rule clone -h acfsutil sec rule clone rule -s src_mount_point new_rule acfsutil sec rule clone rule -s src_mount_point [new_rule] -d mount_point
acfsutil sec rule clone -hは、ヘルプ・テキストを表示して終了します。
表16-72に、acfsutil sec rule cloneコマンドで使用可能なオプションを示します。
表16-72 acfsutil sec rule cloneコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルールの既存の名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
ソース・ファイル・システムがマウントされるディレクトリを指定します。 |
|
|
ファイル・システムの宛先マウント・ポイントのディレクトリを指定します。 |
|
|
ルールの新しい名前を指定します。名前に空白文字が含まれる場合は引用符( |
ソースとマウント・ポイントが異なり、新しいルール名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイル・システム内の既存のルール名を使用してルールがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルールはソース・マウント・ポイントに配置され、新しい一意のルール名を指定する必要があります。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec rule cloneコマンドの使用例を示します。
例16-69 acfsutil sec rule cloneコマンドの使用方法
$ /sbin/acfsutil sec rule clone my_security_rule -s /acfsmounts/acfs1
my_new_security_rule -d /acfsmounts/acfs2acfsutil sec rule create
目的
セキュリティ・ルールを作成します。
構文および説明
acfsutil sec rule create -h acfsutil sec rule create rule -m mount_point -t rule_type rule_value [-o {ALLOW|DENY}]
acfsutil sec rule create -hは、ヘルプ・テキストを表示して終了します。
表16-73に、acfsutil sec rule createコマンドで使用可能なオプションを示します。
表16-73 acfsutil sec rule createコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルールの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
ルールのタイプとルールの値を指定します。ルールのタイプには、 |
|
|
|
acfsutil sec rule createはマウント・ポイントで指定したOracle ACFSファイル・システムに新しいルールを作成します。新しいルールはルール・セットに追加でき、ルール・セットはセキュリティ・レルムに追加できます。
最大500のOracle ACFSセキュリティ・ルールを作成できます。
ルールのタイプと関連するルールの値には、次のものがあります。
-
applicationこのルールのタイプでは、レルムにより保護されたオブジェクトへのアクセスが許可または拒否されるアプリケーションの名前を指定します。
-
hostnameこのルールのタイプでは、レルムにより保護されたオブジェクトにユーザーがアクセスする元のコンピュータの名前を指定します。このルールを使用してノードからのアクセスが許可または拒否されます。
hostnameにはいずれかのクラスタ・ノード名を指定する必要があり、ネットワーク・ファイル・システム(NFS)マウントとしてOracle ACFSファイル・システムをマウントした他の外部ノードは指定できません。 -
timeこのルールのタイプでは、
start_time,end_time形式で時間間隔を指定します。この時間間隔でレルムへのアクセスを指定します。レルムにより保護されたオブジェクトへのアクセスは、レルム内のこのルール設定により、1日のうち特定の時間だけ許可または拒否されます。この時間はホストのローカル時間に基づきます。 -
usernameこのルールのタイプでは、レルムに追加またはレルムから削除するユーザー名を指定します。このオプションを使用して、レルムの一部であるセキュリティ・グループに属する任意のユーザーのアクセスを拒否できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec rule createコマンドの使用例を示します。
例16-70 acfsutil sec rule createコマンドの使用方法
$ /sbin/acfsutil sec rule create my_security_rule -m /acfsmounts/acfs1
-t username security_user_one -o ALLOWacfsutil sec rule destroy
目的
セキュリティ・ルールを削除します。
構文および説明
acfsutil sec rule destroy -h acfsutil sec rule destroy rule -m mount_point
acfsutil sec rule destroy -hは、ヘルプ・テキストを表示して終了します。
表16-74に、acfsutil sec rule destroyコマンドで使用可能なオプションを示します。
表16-74 acfsutil sec rule destroyコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルールの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
acfsutil sec rule destroyはマウント・ポイントで指定したOracle ACFSファイル・システムのルール・セットからルールを削除します。すべてのルールが破棄されてもルール・セットは破棄されません。空のルール・セットは明示的に破棄する必要があります。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec rule destroyコマンドの使用例を示します。
例16-71 acfsutil sec rule destroyコマンドの使用方法
$ /sbin/acfsutil sec rule destroy my_security_rule -m /acfsmounts/acfs1
acfsutil sec rule edit
目的
セキュリティ・ルールを更新します。
構文および説明
acfsutil sec rule edit -h acfsutil sec rule edit rule -m mount_point { [-t rule_type rule_value ] [-o {ALLOW|DENY}] }
acfsutil sec rule edit -hは、ヘルプ・テキストを表示して終了します。
表16-75に、acfsutil sec rule editコマンドで使用可能なオプションを示します。
表16-75 acfsutil sec rule editコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルールの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
ルールのタイプとルールの値を指定します。ルールのタイプには、 |
|
|
|
acfsutil sec rule editはルールを更新します。ルールに関連付けられた値は更新できますが、ルール・タイプは更新できません。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec rule editコマンドを使用してmy_security_ruleを更新する例を示します。タイプusernameの既存のルールおよびその値は変更できません。
例16-72 acfsutil sec rule editコマンドの使用方法
$ /sbin/acfsutil sec rule edit my_security_rule -m /acfsmounts/acfs1
-t username security_user_three -o ALLOWacfsutil sec ruleset clone
目的
セキュリティ・ルール・セットをクローン化します。
構文および説明
acfsutil sec ruleset clone -h acfsutil sec ruleset clone ruleset -s mount_point new_ruleset acfsutil sec ruleset clone ruleset -s mount_point [new_ruleset] -d mount_point
acfsutil sec ruleset clone -hは、ヘルプ・テキストを表示して終了します。
表16-76に、acfsutil sec ruleset cloneコマンドで使用可能なオプションを示します。
表16-76 acfsutil sec ruleset cloneコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルール・セットの既存の名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
ソース・ファイル・システムがマウントされるディレクトリを指定します。 |
|
|
ファイル・システムの宛先マウント・ポイントのディレクトリを指定します。 |
|
|
ルール・セットの新しい名前を指定します。名前に空白文字が含まれる場合は引用符( |
ソース・マウント・ポイントが宛先マウント・ポイントと異なる場合、ルール・セット内のルールが最初にクローン化される必要があります。
ソースとマウント・ポイントが異なり、新しいルール・セット名が指定されていない場合、宛先マウント・ポイントで指定したOracle ACFSファイル・システム内の既存のルール・セット名を使用してルール・セットがクローン化されます。宛先マウント・ポイントが指定されていない場合、クローン化されたルール・セットはソース・マウント・ポイントに配置され、新しい一意のルール・セット名を指定する必要があります。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec ruleset cloneコマンドの使用例を示します。
例16-73 acfsutil sec ruleset cloneコマンドの使用方法
$ /sbin/acfsutil sec ruleset clone
my_security_ruleset -s /acfsmounts/acfs1
my_new_security_ruleset -d /acfsmounts/acfs2acfsutil sec ruleset create
目的
セキュリティ・ルール・セットを作成します。
構文および説明
acfsutil sec ruleset create -h acfsutil sec ruleset create rule_set -m mount_point [-o {ALL_TRUE|ANY_TRUE}]
acfsutil sec ruleset create -hは、ヘルプ・テキストを表示して終了します。
表16-77に、acfsutil sec ruleset createコマンドで使用可能なオプションを示します。
表16-77 acfsutil sec ruleset createコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
|
acfsutil sec ruleset createは指定したマウント・ポイントに新しいルール・セットを作成します。
最大500のOracle ACFSセキュリティ・ルール・セットを作成できます。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec ruleset createコマンドの使用例を示します。
例16-74 acfsutil sec ruleset createコマンドの使用方法
$ /sbin/acfsutil sec ruleset create
my_security_ruleset -m /acfsmounts/acfs1 -o ANY_TRUEacfsutil sec ruleset destroy
目的
セキュリティ・ルール・セットを削除します。
構文および説明
acfsutil sec ruleset destroy -h acfsutil sec ruleset destroy rule_set -m mount_point
acfsutil sec ruleset destroy -hは、ヘルプ・テキストを表示して終了します。
表16-78に、acfsutil sec ruleset destroyコマンドで使用可能なオプションを示します。
表16-78 acfsutil sec ruleset destroyコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
acfsutil sec ruleset destroyはマウント・ポイントで指定したOracle ACFSファイル・システムからルール・セットを削除します。セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec ruleset destroyコマンドの使用例を示します。
例16-75 acfsutil sec ruleset destroyコマンドの使用方法
$ /sbin/acfsutil sec ruleset destroy
my_security_ruleset -m /acfsmounts/acfs1acfsutil sec ruleset edit
目的
セキュリティ・ルール・セットを更新します。
構文および説明
acfsutil sec ruleset edit -h acfsutil sec ruleset edit rule_set -m mount_point { [-a rule,...] [-d rule,...] [-o {ALL_TRUE|ANY_TRUE}]}
acfsutil sec ruleset edit -hは、ヘルプ・テキストを表示して終了します。
表16-79に、acfsutil sec ruleset editコマンドで使用可能なオプションを示します。
表16-79 acfsutil sec ruleset editコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
ルール・セットの名前を指定します。名前に空白文字が含まれる場合は引用符( |
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
追加するルールを指定します。 |
|
|
削除するルールを指定します。 |
|
|
|
acfsutil sec ruleset editはマウント・ポイントで指定したOracle ACFSファイル・システムのルール・セットを更新します。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec ruleset editコマンドの使用例を示します。
例16-76 acfsutil sec ruleset editコマンドの使用方法
$ /sbin/acfsutil sec ruleset edit
my_security_ruleset -m /acfsmounts/acfs1
-a my_new_rule -o ANY_TRUEacfsutil sec save
目的
Oracle ACFSファイル・システム・セキュリティ・メタデータを保存します。
構文および説明
acfsutil sec save -h acfsutil sec save -m mount_point -p file
acfsutil sec save -hは、ヘルプ・テキストを表示して終了します。
表16-80に、acfsutil sec saveコマンドで使用可能なオプションを示します。
表16-80 acfsutil sec saveコマンドのオプション
| オプション | 説明 |
|---|---|
|
|
このファイル・システムがマウントされるディレクトリを指定します。 |
|
|
セキュリティ・メタデータを保存するファイル名を指定します。ファイルは |
acfsutil sec saveコマンドを実行してOracle ACFSファイル・システムのセキュリティ・メタデータをXMLファイルに保存します。デフォルトで、ファイルは/mount_point/.Security/backupディレクトリに保存されます。
このファイルはバックアップ・アプリケーションにより通常のファイルとしてバックアップできます。システム・レルムはこのファイルを保護し、そのレルムのメンバーだけがこのファイルにアクセスでき、rootユーザーやシステム管理者を含むその他のすべてのユーザーはアクセスできません。システム作成のセキュリティ・レルムの詳細は、「acfsutil sec prepare」を参照してください。
セキュリティ管理者のみがこのコマンドを実行できます。
例
次に、acfsutil sec saveコマンドの使用例を示します。
例16-77 acfsutil sec saveコマンドの使用方法
$ /sbin/acfsutil sec save -m /acfsmounts/acfs1 -p my_metadata_file.xml