chsec コマンド

目的

セキュリティー・スタンザ・ファイル内の属性を変更します。

構文

chsec [ -f ファイル] [ -s スタンザ] [ -a 属性 = 値 ...]

説明

chsec コマンドは、セキュリティー構成スタンザ・ファイルに格納されている属性を変更します。これらのセキュリティー構成スタンザ・ファイルには、Attribute = Value パラメーターで指定できる属性があります。

/etc/security/environ
/etc/security/group
/etc/security/audit/hosts
/etc/security/lastlog
/etc/security/limits
/etc/security/login.cfg
/usr/lib/security/mkuser.default
/etc/nscontrol.conf
/etc/security/passwd
/etc/security/portlog
/etc/security/pwdalg.cfg
/etc/security/roles
/etc/security/rtc/rtcd_policy.conf
/etc/security/smitacl.user
/etc/security/smitacl.group
/etc/security/user
/etc/security/user.roles
/etc/secvars.cfg

/etc/security/environ、 /etc/security/lastlog、 /etc/security/limits、 /etc/security/passwd内の属性を変更する場合、および /etc/security/user ファイルの場合、 スタンザ ・パラメーターによって指定されるスタンザ名は、有効なユーザー名か、または有効なユーザー名でなければなりません。default. /etc/security/group ファイル内の属性を変更する場合、 スタンザ ・パラメーターによって指定されるスタンザ名は、有効なグループ名またはdefault. /usr/lib/security/mkuser.default ファイル内の属性を変更する場合、 スタンザ ・パラメーターは次のいずれかでなければなりません。adminまたはuser. /etc/security/portlog ファイル内の属性を変更する場合、 スタンザ ・パラメーターは有効なポート名でなければなりません。 /etc/security/login.cfg ファイル内の属性を変更する場合には、Stanza パラメーターは有効なポート名、メソッド名、または usw 属性のいずれかでなければなりません。

存在しないスタンザ内で /etc/security/login.cfg ファイルまたは /etc/security/portlog ファイル内の属性を変更すると、chsec コマンドによりスタンザが自動的に作成されます。

chsec コマンドを使用して /etc/security/passwd ファイルの password 属性を変更することはできません。かわりに、passwd コマンドを使用してください。

root ユーザーまたは適切な権限を持っているユーザーのみが、管理属性を変更することができます。例えば、管理グループ・データを変更するには、ユーザーは root であるか、または GroupAdmin 権限を持っている必要があります。

注: chsec コマンドは、ローカル・ユーザー属性を変更します。非ローカル・ユーザーの属性はこのコマンドでは変更されません。 chsec コマンドを使用すると、リモート・ユーザー属性を変更できます。ローカル・セキュリティー・スタンザ・ファイル内のリモート・ユーザー属性は chsec コマンドによって更新されません。

フラグ

項目	説明
-a 属性 = 値	変更する属性と、その属性の新しい値を指定します。値を指定しないと、属性は所定のスタンザから除去されます。
-f ファイル	変更するスタンザ・ファイルの名前を指定します。
-s スタンザ	変更するスタンザの名前を指定します。

セキュリティー

アクセス制御

このコマンドに対する実行アクセス権は、root ユーザーとセキュリティー・グループにのみ与えられます。このコマンドには、トラステッド・コンピューティング・ベース属性があり、setuid コマンドを実行して root ユーザーにセキュリティー・データベースへのアクセス権を与えます。

Trusted AIX® システムでは、 aix.mls.clear.write 権限を持つユーザーのみがクリアランス属性を変更できます。また、aix.mls.tty.write 権限を持つユーザーのみがポート属性を変更できます。

イベントの監査

イベント	情報
USER_Change	ユーザー名、属性
GROUP_Change	グループ名、属性
PORT_Change	ポート、属性

アクセスされるファイル

モード	ファイル
rw	/etc/security/environ
rw	/etc/security/group
rw	/etc/security/audit/hosts
rw	/etc/security/lastlog
rw	/etc/security/limits
rw	/etc/security/login.cfg
rw	/usr/lib/security/mkuser.default
rw	/etc/nscontrol.conf
rw	/etc/security/passwd
rw	/etc/security/portlog
rw	/etc/security/pwdalg.cfg
rw	/etc/security/roles
rw	/etc/security/rtc/rtcd_policy.conf
rw	/etc/security/smitacl.user
rw	/etc/security/smitacl.group
rw	/etc/security/user
rw	/etc/security/user.roles

RBAC ユーザーと Trusted AIX ユーザーへの注意: このコマンドは特権操作を実行できます。特権命令を実行できるのは特権ユーザーのみです。権限および特権について詳しくは、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドを参照してください。このコマンドの全機能を使用する場合、ロールには accessauths に加えて以下の権限が必要です。

aix.security.user.audit
aix.security.role.assign
aix.security

/etc/security/rtc/rtcd_policy.conf で chsec コマンドを実行するには、ロールに次の権限も必要です。

aix.security.config

例

ログイン試行が 60 秒以内に 5 回失敗した場合に自動的にロックするように /dev/tty0 ポートを変更するには、次のように入力します。
```
chsec -f /etc/security/login.cfg -s /dev/tty0 -a logindisable=5 -a logininterval=60
```
システムによってロックされた /dev/tty0 ポートをアンロックするには、次のように入力します。
```
chsec -f /etc/security/portlog -s /dev/tty0 -a locktime=0
```
8:00 a.mからのログインを許可します。 p.mの 5:00 まで。すべてのユーザーについて、以下を入力します
```
chsec -f /etc/security/user -s default -a logintimes=:0800-1700
```
ユーザーの CPU 時間制限を変更するにはjoe1 時間 (3600 秒) にするには、次のように入力します。
```
chsec -f /etc/security/limits -s joe -a cpu=3600
```

ファイル

項目	説明
/usr/bin/chsec	chsec コマンドまでのパスを指定します。
/etc/security/environ	ユーザーの環境属性が入っています。
/etc/security/group	グループの拡張属性が入っています。
/etc/security/audit/hosts	ホスト ID およびプロセッサー ID が入っています。
/etc/security/group	ユーザーの最後のログイン属性を定義します。
/etc/security/limits	ユーザーごとのリソース・クォータおよび制限を定義します。
/etc/security/login.cfg	ポート構成情報が入っています。
/usr/lib/security/mkuser.default	新規ユーザーのデフォルト値が入っています。
/etc/nscontrol.conf	いくつかのネーム・サービスの構成情報が入っています。
/etc/security/passwd	パスワード情報が入っています。
/etc/security/portlog	失敗したログインの情報がポートごとに入っています。
/etc/security/pwdalg.cfg	ロード可能パスワード・アルゴリズム (LPA) の構成情報が入っています。
/etc/security/roles	有効なロールのリストが含まれています。
/etc/security/rtc/rtcd_policy.conf	rtcd デーモンの構成情報が入っています。
/etc/security/smitacl.user	ユーザー ACL 定義が含まれています。
/etc/security/smitacl.group	グループ ACL 定義が含まれています。
/etc/security/user	ユーザーの拡張属性が入っています。
/etc/security/user.roles	それぞれのユーザーの役割のリストが含まれています。
/etc/security/enc/LabelEncodings	Trusted AIX システムのラベル定義が入っています。
/etc/security/domains	システムの有効なドメイン定義が入っています。
/etc/secvars.cfg	スタンザ・ファイルが入っています。