dacinet コマンド
目的
CAPP/EAL4 + 構成で TCP ポートのセキュリティーを管理します。
構文
dacinet aclflush
dacinet aclclear サービス | ポート
dacinet acladd サービス | [-] addr [/prefix_length] [u:user | uid | g:group | gid]
dacinet acldel サービス | [-] addr [/prefix_length] [u:user | uid | g:group | gid]
dacinet aclls サービス | ポート
dacinet setpriv サービス | ポート
dacinet unsetpriv サービス | ポート
dacinet lspriv
説明
dacinet コマンドは、TCP ポートにおけるセキュリティーの管理に 使用されます。 dacinet の各種機能の詳細については、 『サブコマンド』のセクションを参照してください。
サブコマンド
| 項目 | 説明 |
|---|---|
| acladd | ACL エントリーを、dacinet コマンドが使用するアクセス制御リストを保持しているカーネル・テーブルに追加します。 acladd サブコマンドのパラメーターの構文は、
次のとおりです。 [-]addr[/長さ] [u:user|uid| g:group|gid] パラメーターは、 次のように定義されます。
|
| aclclear | 指定されたサービスまたはポートの ACL をクリアします。 |
| acldel | ACL エントリーを、dacinet コマンドが使用するアクセス制御リストを保持しているカーネル・テーブルから削除します。 dacinet acldel サブコマンドは、そのエントリーを ACL に追加するのに
使用されたパラメーターと正確に一致するパラメーターの指定で発行された場合にのみ、
ACL からエントリーを削除します。 acldel サブコマンドのパラメーターの
構文は、次のとおりです。 [-]addr[/長さ] [u:user|uid| g:group|gid] パラメーターは、 次のように定義されます。
|
| aclflush | システムで定義されたすべての ACL をクリアし、 すべての TCP ポートを接続要求 (ホストの root ユーザーからのものは除く) に対してアクセス不能にします。 また、 任意のプロセスが 1024 より大きい任意のポートへバインドできるように、特権ポートもクリアします。 |
| aclls | 指定されたサービスまたはポートの ACL をリストします。 dacinet aclls 0 は、デフォルトの ACL をリストします。 認証処理については、論理的な観点から、 デフォルトの ACL がそのサービスの ACL に付加されます。 その ACL 上のエントリーが そのサービスへ接続しようとしているユーザーに一致しない場合は、 アクセスは拒否されます。 1 つ以上のエントリーが存在する場合は、接続要求者に一致する user|group@ host|subnet を備えたリスト上の最初のものが、 そのサービスへユーザーが接続可能であるかを決定します。 このようにして、 グループの許可エントリーを追加する前に単にそのメンバーの拒否エントリーを追加することで、 そのサービスへのアクセスを持つグループのメンバーに対して サービスを拒否することが可能になります。 |
| lspriv | 特権が永続的なものではない、 特権を持つすべてのサービスまたはポートを リストします (つまり、1024 より大きいポート番号を持つ特権サービスのみをリストします)。 |
| setpriv | 指定されたサービスまたはポートを、 スーパーユーザー特権を持つプロセスのみがそのポートにバインドでき そのポート上のサービスを提供するような、 特権状態にします。 1024 より小さいポートは、永続的に特権を与えられているので 無視されます。 |
| unsetpriv | 指定されたサービスまたはポートを、任意のプロセスがバインドできるような 非特権状態にします。 そのポートに特権がマークされているかどうかにかかわらず、 任意のプロセスも、現行の一時ポート範囲内の任意のポートに バインドすることができます。 |
ファイル
| 項目 | 説明 |
|---|---|
| /usr/sbin/dacinet | dacinet コマンドが入っています。 |