/etc/security/privcmds ファイル
目的
特権コマンドのセキュリティー属性が入っています。
説明
/etc/security/privcmds ファイルは、特権コマンドとそのセキュリティー属性を含む ASCII スタンザ・ファイルです。 /etc/security/privcmds ファイル内の各スタンザは、コマンドへの絶対パス名と、それに続くコロン (:) によって識別されます。 各スタンザには、 Attribute = Value 形式の属性が含まれています。 パス名はコマンドへの絶対パスでなければならず、シンボリック・リンク・ディレクトリーを含むことも、コマンドへのシンボリック・リンクにすることもできません。 各 属性 = 値 ペアは改行文字で終了し、各スタンザは追加の改行文字で終了します。 スタンザの例については、 例を参照してください。
プライバシー・コマンド ファイルに対して行われた変更は、特権コマンド・データベース全体が セックスト コマンドを介してカーネル・セキュリティー・テーブルに送信されるか、システムがリブートされるまで、セキュリティー上の考慮事項に影響しません。
privcmds ファイル内の項目の変更およびリスト作成
- setsecattr
- /etc/security/privcmds ファイルにコマンド・エントリーを追加するか、このファイル内のコマンド・エントリーを変更します。
- lssecattr
- 属性とその値を表示します。
- rmsecattr
- プライバシー・コマンド ファイルからコマンドを削除します。
- 取得cmdattr
- データ取得
- 書き込み属性
- putcmdattrs
属性
このファイルのスタンザには、以下の 1 つ以上のセキュリティー属性が含まれています。
| 項目 | 説明 |
|---|---|
| accessauths | アクセス許可を許可名のコンマ区切りリストとして指定します。 現在のセッションのユーザーが、リストにある権限のいずれかをもっていれば、コマンドを実行できます。 最大 16 個の許可を指定できます。 この属性には、以下の 3 つの特殊値も使用できます。
|
| authprivs | 特定の許可ベースでプロセスに割り当てられる許可特権を指定します。 コマンドを実行するユーザーは、 認証特権 属性を有効にするために、 アクセス権限 属性を介してコマンドへのアクセス権限を取得する必要があります。 処理されるリスト内の許可ごとに、関連付けられた特権セットが付与されます。 許可と特権のペアの最大数は 16 です。 以下の行に示すように、許可とそれに対応する特権は等号 (=) で区切られ、個々の特権は正符号 (+) で区切られ、許可と特権のペアはコンマで区切られます。auth=priv+priv...,auth=priv+priv...,... |
| authroles | ロールまたはロールのリスト。 これらを持つユーザーは、コマンドの実行を許可するために認証される必要があります。 最大 16 個の役割を指定できます。 |
| msgset | 許可の 1 行の記述が入っているメッセージ・カタログのファイル名を指定します。 値は文字ストリングです。 |
| innateprivs | コマンドの実行中にプロセスに割り当てられる特権のコンマ区切りリストを指定します。 指定された特権がプロセスに割り当てられるのは、コマンド呼び出しがアクセス許可によって許可されている場合のみです。 |
| inheritprivs | 子プロセスに渡される特権のコンマ区切りリストを指定します。 |
| euid | コマンドの実行中に想定する有効ユーザー ID を指定します。 |
| egid | コマンドの実行中に想定する実効グループ ID を指定します。 |
| ruid | コマンドの実行中に使用する実ユーザー ID を指定します。 |
| secflags | ファイル・セキュリティー・フラグのコンマ区切りリストを指定します。 以下の値が有効です。
|
セキュリティー
root ユーザーとセキュリティー・グループがこのファイルを所有します。 読み取りおよび書き込み権限が root ユーザーに付与されます。 他のユーザーおよびグループのアクセス権限は、システムのセキュリティー・ポリシーによって異なります。
例
/usr/bin/myprog:
accessauths = aix.security.user.create,aix.security.user.change
authprivs = aix.ras.audit=PV_AU_ADMIN
innateprivs = PV_DAC_R,PV_DAC_W
secflags = FSF_EPS