特権ファイル・データベース
従来のUNIXシステムにおけるシステム設定ファイルの多くは、ルート・ユーザーが所有し、他のユーザーが直接変更することはできない。 RBAC を使用して、ロールを活動化してファイルの変更に必要な特権を獲得するコマンドを実行することにより、これらのシステム構成ファイルを変更することができます。
AIXの設定ファイルには、ファイルを変更するためのコマンド・インターフェースを持たないものがある。 このような場合には、適切な許可を持つ管理者に、 別の方法ではアクセスできないファイルの編集および保存を直接行うことを許可するツールが必要になります。
特権ファイル・データベースでは、システム構成ファイルへのアクセスを決定する権限を使用する方式が提供されています。 データベースがローカルに保管されている場合、そのデータベースは /etc/security/privfiles ファイルに含まれています。 このデータベースにより、構成ファイルはこれらのファイルを表示または変更するために必要な許可にマップされます。 構成ファイルへのアクセスは、このデータベースで次の属性を指定して制御されます。
- readauths
- ファイルからの読み取りを行うことのできる許可のリスト
- writeauths
- ファイルへの書き込みを行うことのできる許可のリスト (読み取り許可はこの場合に暗黙指定されます)
特権ファイル・データベース内の項目は、 lssecattr コマンドを使用してリストすることができ、 setsecattr コマンドを使用して作成または変更することができます。 特権ファイル・データベースで定義されているファイルは、
/usr/bin/pvi コマンドを使用して権限があるユーザーがアクセスすることができます。 pvi コマンドは、/usr/bin/tvi コマンドに基づく vi エディターの制限付き特権バージョンです。 pvi コマンドにより tvi コマンドと同じすべてのセキュリティー上の予防措置
(例えば、–r または -t フラグなし、シェル・エスケープなし、ユーザー定義マクロなし) が実施され、
次の制約事項も加えられます。
- システムは拡張 RBAC モードでなければならない。
- 特権ファイル・データベースで定義されているファイルのみをオープンすることができる。
- 一度に 1 つのファイルのみオープンすることができる。
- 異なるファイル名への書き込みを行うと、コマンド・ラインに指定されているファイル名が使用不可になる。
- /etc/security/privfiles ファイルは、pvi コマンドを使用して編集することはできません。
- リンクをオープンする試みは失敗します。 通常ファイルのみ編集することができます。
許可検査がファイルをオープンする前に実行されます。 許可が一致した場合には、プロセスの特権セットに PV_DAC_R または PV_DAC_W (ファイルのオープンが読み取りまたは書き込みのいずれのためかによって決まります) が入れられるようになります。 許可が一致しない場合には、エラー・メッセージが表示され、ユーザーは pvi コマンドを使用したファイルへのアクセスを拒否されます。