ルールの有効性と例外について

Document created by Tomo_Fujita Employee on Mar 12, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000141

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:All


 

 

◆ 内容
selangコマンドで設定したルールが有効になる時期と例外についての説明です。

 

◆ 詳細内容
selangコマンドで設定したルールは、以下の例に示すように通常は設定した直後から有効となります。

例)FILEルールの場合
# selang
AC> nf /tmp/test.txt owner(nobody) audit(all) defacc(none)
AC> exit
# cat /tmp/test.txt
cat: /tmp/test.txt: Permission denied

 

しかし、以下に示すルールあるいは属性に関しては、有効になるタイミングが設定した直後になるとは限りませんので注意が必要です。

1.SPECIALPGMルール
  SPECIALPGMルールは、リソースとしてプログラム名を指定しバイパスの設定な
  どを行うものですが、設定したルールが有効となるのはルール設定後に起動された
  プログラムに対してであり、既に起動されているプログラムに対しては設定した
  ルールは有効になりません。
  既に起動状態になっているプログラムに対しては、そのプログラムを再起動するか、
  あるいはCA ControlMinderを再起動することにより、設定したルールを有効にす
  ることができます。
     
2.USERのAUDIT属性のうちTRACEおよびINTERACTIVE
  これらの属性はユーザトレースおよびキーボードロガーの機能を、指定したユーザ
  に対して有効化するものですが、設定が有効となるのは設定後にログインしたユー
  ザのセッションに対してであり、既にログイン済みのユーザあるいは過去にログイ
  ンしたユーザが起動したデーモン(ユーザトレースの場合)に対しては有効となり
  ません。デーモンについてはそのユーザで再起動する必要があります。属性を取り
  除くときも上記と同様となります。
 
3.Setoptionコマンドflags(I)およびflags-(I)
  これらは、クラスのリソース(オブジェクト)について、大文字/小文字を区別する
  か否かを指定するフラグです。このフラグを変更した場合、それを有効化するため
  にはCA ControlMinderの再起動が必要となります。
  なお、大文字/小文字を区別しないという設定に変更する場合は、既存のルールにつ
  いてあらかじめリソースの重複がないことを確認する必要があります。重複が存在
  する場合は一方のルールを削除してください。
  重複したオブジェクトが存在するとCA ControlMinderを起動することができなくなります。

Attachments

    Outcomes