chsec コマンド
目的
セキュリティー・スタンザ・ファイル内の属性を変更します。
構文
説明
chsec コマンドは、セキュリティー構成スタンザ・ファイルに格納されている属性を変更します。これらのセキュリティー構成スタンザ・ファイルには、Attribute = Value パラメーターで指定できる属性があります。
- /etc/security/environ
- /etc/security/group
- /etc/security/audit/hosts
- /etc/security/lastlog
- /etc/security/limits
- /etc/security/login.cfg
- /usr/lib/security/mkuser.default
- /etc/nscontrol.conf
- /etc/security/passwd
- /etc/security/portlog
- /etc/security/pwdalg.cfg
- /etc/security/roles
- /etc/security/rtc/rtcd_policy.conf
- /etc/security/smitacl.user
- /etc/security/smitacl.group
- /etc/security/user
- /etc/security/user.roles
- /etc/secvars.cfg
/etc/security/environ、/etc/security/lastlog, /etc/security/limits、/etc/security/passwd、および /etc/security/user の各ファイル内の属性を変更する場合、Stanza パラメーターで指定されるスタンザ名は、有効なユーザー名であるか、default でなければなりません。/etc/security/group ファイル内の属性を変更する場合は、Stanza パラメーターで指定されるスタンザ名は、有効なグループ名であるか、default でなければなりません。/usr/lib/security/mkuser.default ファイル内の属性を変更する場合には、Stanza パラメーターは admin または user でなければなりません。/etc/security/portlog ファイル内の属性を変更する場合は、Stanza パラメーターは有効なポート名でなければなりません。/etc/security/login.cfg ファイル内の属性を変更する場合には、Stanza パラメーターは有効なポート名、メソッド名、または usw 属性のいずれかでなければなりません。
存在しないスタンザ内で /etc/security/login.cfg ファイルまたは /etc/security/portlog ファイル内の属性を変更すると、chsec コマンドによりスタンザが自動的に作成されます。
chsec コマンドを使用して /etc/security/passwd ファイルの password 属性を変更することはできません。かわりに、passwd コマンドを使用してください。
root ユーザーまたは適切な権限を持っているユーザーのみが、管理属性を変更することができます。 例えば、管理グループ・データを変更するには、ユーザーは root であるか、または GroupAdmin 権限を持っている必要があります。
フラグ
| 項目 | 説明 |
|---|---|
| -a Attribute=Value | 変更する属性と、その属性の新しい値を指定します。値を指定しないと、属性は所定のスタンザから除去されます。 |
| -f File | 変更するスタンザ・ファイルの名前を指定します。 |
| -s Stanza | 変更するスタンザの名前を指定します。 |
セキュリティー
アクセス制御
このコマンドに対する実行アクセス権は、root ユーザーとセキュリティー・グループにのみ与えられます。 このコマンドには、トラステッド・コンピューティング・ベース属性があり、setuid コマンドを実行して root ユーザーにセキュリティー・データベースへのアクセス権を与えます。
Trusted AIX® システムでは、aix.mls.clear.write 権限を持つユーザーのみがクリアランス属性を変更できます。 また、aix.mls.tty.write 権限を持つユーザーのみがポート属性を変更できます。
監査イベント
| イベント | 情報 |
|---|---|
| USER_Change | ユーザー名、属性 |
| GROUP_Change | グループ名、属性 |
| PORT_Change | ポート、属性 |
アクセスするファイル
| モード | ファイル |
|---|---|
| rw | /etc/security/environ |
| rw | /etc/security/group |
| rw | /etc/security/audit/hosts |
| rw | /etc/security/lastlog |
| rw | /etc/security/limits |
| rw | /etc/security/login.cfg |
| rw | /usr/lib/security/mkuser.default |
| rw | /etc/nscontrol.conf |
| rw | /etc/security/passwd |
| rw | /etc/security/portlog |
| rw | /etc/security/pwdalg.cfg |
| rw | /etc/security/roles |
| rw | /etc/security/rtc/rtcd_policy.conf |
| rw | /etc/security/smitacl.user |
| rw | /etc/security/smitacl.group |
| rw | /etc/security/user |
| rw | /etc/security/user.roles |
- aix.security.user.audit
- aix.security.role.assign
- aix.security
- aix.security.config
例
- ログイン試行が 60 秒以内に 5 回失敗に終わった場合に /dev/tty0 ポートが自動的にロックするように変更するには、
次のように入力します。
chsec -f /etc/security/login.cfg -s /dev/tty0 -a logindisable=5 -a logininterval=60 - /dev/tty0 ポートがシステムによってロックされた後でアンロックするには、次のように入力します。
chsec -f /etc/security/portlog -s /dev/tty0 -a locktime=0 - すべてのユーザーに対して午前 8:00 から午後 5:00 までログインを許可するには、
次のように入力します。
chsec -f /etc/security/user -s default -a logintimes=:0800-1700 - ユーザー joe の CPU 時間制限を 1 時間 (3600 秒) に変更するには、
次のように入力します。
chsec -f /etc/security/limits -s joe -a cpu=3600
ファイル
| 項目 | 説明 |
|---|---|
| /usr/bin/chsec | chsec コマンドまでのパスを指定します。 |
| /etc/security/environ | ユーザーの環境属性が入っています。 |
| /etc/security/group | グループの拡張属性が入っています。 |
| /etc/security/audit/hosts | ホストおよびプロセッサー ID が入っています。 |
| /etc/security/group | ユーザーの最後のログイン属性を定義します。 |
| /etc/security/limits | ユーザーごとのリソース・クォータおよび制限を定義します。 |
| /etc/security/login.cfg | ポート構成情報が入っています。 |
| /usr/lib/security/mkuser.default | 新規ユーザーのデフォルト値が入っています。 |
| /etc/nscontrol.conf | いくつかのネーム・サービスの構成情報が入っています。 |
| /etc/security/passwd | パスワード情報が入っています。 |
| /etc/security/portlog | 各ポートの成功しなかったログイン情報が入っています。 |
| /etc/security/pwdalg.cfg | ロード可能パスワード・アルゴリズム (LPA) の構成情報が入っています。 |
| /etc/security/roles | 有効なロールのリストが入っています。 |
| /etc/security/rtc/rtcd_policy.conf | rtcd デーモンの構成情報が入っています。 |
| /etc/security/smitacl.user | ユーザー ACL 定義が入っています。 |
| /etc/security/smitacl.group | グループ ACL 定義が入っています。 |
| /etc/security/user | 拡張ユーザー属性が入っています。 |
| /etc/security/user.roles | 各ユーザーのロールのリストが入っています。 |
| /etc/security/enc/LabelEncodings | Trusted AIX システムのラベル定義が入っています。 |
| /etc/security/domains | システムの有効なドメイン定義が入っています。 |
| /etc/secvars.cfg | スタンザ・ファイルが入っています。 |