TOP(サイトマップ)

ファイルの権限とセキュリティ

(はじめに)
はじめに
Solarisって・・・
SunのセミナーとSDC
Solaris 10概要
資格(SCSA,SCNA)
Solarisフォーラム
管理人に連絡

(Solaris基本)

Solarisのインストール
システムの起動と停止
ファイルシステム
オートマウントとマウント
パッケージとパッチ
ユーザの追加と削除
ファイル権限(セキュリティ)
バックアップとリストア
CDE環境
プロセス管理/監視

(ネットワーク管理)

OSIを理解してみる
TCP/IPの設定
(TCP/IP入門)
DNSの設定
NISの設定
NFSの設定(WebNFS,CacheFS)
(NIS、NIS+、DNS違い)
DHCPの設定
1つのNICで複数IP設定

(IO関連)

インタフェース概要
SAFの管理
プリンタ管理概要
プリンタコマンド
SunSolve Online
SCSI情報(KEY,ASC,ASCQ)

(ソフトウェア関連)

Bash
Apache
Solstice DiskSuite
(SDS OSミラー回復)
Veritas VxVM

(OBPについて)

PROM(OBP)の概要
OBPでのキーボード操作
一般的なOBPコマンド
SolarisでOBPの設定
OBPに関するFAQ


(トラブル時の対応)

基本情報
エラーメッセージ
(主要メッセージ一覧)
性能関連コマンド
トレースコマンド
クラッシュダンプ
SunSolve Online

(その他)

小技集
UNIXコマンド
(manマニュアル)
システムチューニング
ネットワークチューニング
UltraSPARC T1について

(FAQ)

rootのPASSが不明
ハングアップかな?
ハードトラブル
OSが起動しない(b)
swap領域の拡張方法

(リンク)

Sun関連リンク
その他リンク
アバウトなJava入門
Perlメモ(逆引き用)

ファイルの権限とセキュリティについて

Solarisにおけるファイルの権限とセキュリティーについて、一般的には以下の項目がある。

(1)ファイルのセキュリティ(属性)

ファイルのセキュリティはオーナー,グループ,その他と3つに分かれ、書き込み(w)、読み込み(r)、実行権限(x)を設定できる(ls -laコマンドで確認してみると-rwxrw-r--のように表示)。chmodコマンドで設定するが、デフォルト値はプロファイル情報のumaskの値で777を引いた値が仮定される。
# touch bbb
# ls -la bbb
-rw-r--r-- 1 root other 0 6月 11日 15:17 bbb
# chmod +x bbb ・・・・・・実行権限を付ける
# ls -la bbb
-rwxr-xr-x 1 root other 0 6月 11日 15:17 bbb
# chmod 444 bbb ・・・・・・・444の属性に変更する
# ls -la bbb
-r--r--r-- 1 root other 0 6月 11日 15:17 bbb
# chmod g+w bbb ・・・・・・・groupに書き込み権限を付ける
# ls -la bbb
-r--rw-r-- 1 root other 0 6月 11日 15:17 bbb


(2)スーパーユーザー(root)のログイン

スーパーユーザ(root)はコンソールのみからしかログオンできないように設定できる。/etc/default/loginCONSOLE=/dev/consoleという文で制御。コメントにするとリモートでもログインできる。ただ、リモートで別ユーザーでログインし、suコマンドでrootになるのは可能なので、suのログイン記録をlastコマンド(/var/adm/wtmpの中を表示)で確認できる。su時のコマンド結果は/var/adm/sulogをチェックすれば良い(+表示はコマンド成功を意味する)。


(3)ACL(Access Control List)の設定

ACLは(1)の属性で不十分な場合に特定のユーザーおよびグループのファイルアクセス権を設定できる。ls -laコマンドで確認すると-rwxrw-r--+という最後に+の表示をする。設定コマンドは・・・
# setfacl -m ・・・・ACLの追加
(例:setfacl -m usr:toki:rw- /etc/shadow)
# setfacl -d ・・・・ACLの削除
# getfacl・・・・ACLの表示


(4)スティッキービット

通常はrootのみがスティッキービットをセットでき、このディレクトリ配下のファイルはroot、ファイルのオーナー、ディレクトリのオーナーのみ削除が可能。ls -laコマンドで見ると属性の最後にtが付く(drwxrwxrwxt)。設定するコマンドはchmodコマンドでdrwxrwxrwxtの属性にする場合
# chmod 1777 ディレクトリ名
となる。最初の1がステッキービットを意味する。
# mkdir ccc
# chmod 1777 ccc
# ls -la ccc
合計 4
drwxrwxrwt 2 root other 512 6月 11日 15:23 .
drwxr-xr-x 3 root other 512 6月 11日 15:23 ..


(5)SetUID

ファイルを実行するプロセスには、その実行可能ファイルを実行しているユーザーではなく、ファイルの所有者 (通常は root) に基づいてアクセス権が与えられます。ls -laの表示の結果-r-sr-sr-xのようにsが表示される。設定方法はchmodコマンドで「chmod 4777 filename」又は「chmod u+s filename」となる(777じゃなくても良い)。


(6)SetGID

プロセスの実効グループID(GID) はファイルのグループ所有者に変更され、ユーザーにはそのグループに与えられたアクセス権に基づくアクセス権が与えられる。例えば/usr/bin/mailはsetgid アクセス権が設定されています。設定方法はchmodコマンドで「chmod 2777 ファイル名」又は「chmod g+s ファイル名」となる(777じゃなくても良い)。
逆にはずす場合は「chmod g-s filename」とすればよいです。

Google
WWW を検索 Solarisでいきましょか?」内を検索



Copyright (C) 2008 Solarisでいきましょか? All rights reserved