lssecattr コマンド
目的
コマンド、デバイス、特権ファイル、プロセス、またはドメイン割り当てオブジェクトのセキュリティー属性を表示します。
構文
lssecattr [-R load_module] { -c | -d | -p [-h] [-A]| -f | -o } [-C | -F ] [-a List] { ALL | Name [,Name ] ... }
説明
lssecattr コマンドは、1 つ以上のコマンド、デバイス、またはプロセスのセキュリティー属性をリストします。このコマンドは、Name パラメーターを、-c (コマンド)、-d (デバイス)、-f (特権ファイル)、-p (プロセス)、または -o (ドメイン割り当てオブジェクト) のいずれのフラグが指定されるかに基づいて、コマンド、デバイス、特権ファイル、プロセス、またはドメイン割り当てオブジェクトのいずれかとして解釈します。 -c フラグが指定される場合、Name パラメーターには、コマンドへの絶対パスが組み込まれている必要があります。 -d フラグが指定される場合、Name パラメーターには、デバイスへの絶対パスが組み込まれている必要があります。 -f フラグが指定される場合、Name パラメーターには、ファイルへの絶対パスが組み込まれている必要があります。 -p フラグが指定される場合、Name パラメーターは、システム上のアクティブなプロセスの数字プロセス ID (PID) でなければなりません。 -o フラグが指定される場合、ファイルまたはデバイスであれば、Name パラメーターは絶対パスでなければなりません。ポートまたはポート範囲である場合、前に TCP_ または UDP_ を付けなければなりません。すべてのコマンド、デバイス、ファイル、またはプロセスのセキュリティー属性をリストするには、ALL キーワードを使用してください。デフォルトでは、lssecattr コマンドは、指定したオブジェクトのすべてのセキュリティー属性を表示します。選択した属性を表示するには、-a List フラグを使用してください。
システムが複数のドメインのデータベースを使用するように構成される場合は、Name パラメーターによって指定された特権コマンド、特権デバイス、および特権ファイルは、/etc/nscontrol.conf ファイルの対応するデータベース・スタンザの secorder 属性によって指定された順序で、ドメインから検索されます。 重複エントリーが複数のドメイン内に存在する場合は、最初のエントリー・インスタンスのみがリストされます。特定のドメインからのオブジェクトをリストする場合は、-R フラグを使用します。
デフォルトでは、lssecattr コマンドは、各セキュリティー属性を 1 行にリストします。
属性情報は、Attribute=Value
定義として、ブランク・スペースで区切って表示されます。
属性をスタンザ・フォーマットでリストするには、-F フラグを使用します。 属性をコロンで区切られたレコードとしてリストするには、-C フラグを使用します。
フラグ
項目 | 説明 |
---|---|
-a List | 表示する属性をリストします。List 変数では、複数の属性をリストするためには各属性間にブランク・スペースが必要です。空のリストを指定すると、オブジェクト名だけが表示されます。 List 変数にリストできる属性は、-c、-d、および -p のいずれのフラグが指定されているかに応じて決まります。フラグごとの有効な属性名のリストについては、setsecattr コマンドを参照してください。 |
-A | 指定されたプロセスによって使用される権限のリストを表示します。このフラグは、-p フラグと一緒にのみ使用できます。 |
-c | Name パラメーターは、/etc/security/privcmds 特権コマンド・データベース内にエントリーがあるシステム上の 1 つ以上のコマンドに対する絶対パスを指定するためのものです。 |
-C | 特権セキュリティー属性を、次のように、コロンで区切られたレコードとして表示します。
コロンで区切られた各フィールドに示される属性に関する詳細を含むコメント行が、出力の前に置かれます。
-a フラグを指定すると、属性の順序が -a フラグで指定した順序と一致します。オブジェクトが特定の属性の値を伴っていない場合は、そのフィールドは引き続き表示されますが、空の出力になります。
各エントリーの最後のフィールドの末尾には、コロンではなく改行文字が付加されます。
|
-d | Name パラメーターは、/etc/security/privdevs 特権デバイス・データベース内にエントリーがあるシステム上の 1 つ以上のデバイスに対する絶対パスを指定するためのものです。 |
-f | Name パラメーターは、/etc/security/privfiles 特権ファイル・データベース内にエントリーがあるシステム上の 1 つ以上のファイルに対する絶対パスを指定するためのものです。 |
-F | それぞれのスタンザがオブジェクト名によって識別されたスタンザ・フォーマットで出力を表示します。Attribute=Value のそれぞれの対は、別々の行にリストされます。
|
-h | プロセスに関する特権の全階層を表示します。デフォルトでは、特権の最高レベルのみがリストされます。 |
-o | Name パラメーターは、/etc/security/domobjs ドメイン割り当てオブジェクト・データベース内の次のいずれかのエントリーを指定します。
|
-p | Name パラメーターは、システム上の 1 つ以上のアクティブなプロセスの数字プロセス ID (PID) を指定するためのものです。
-p フラグは、-R フラグとは相互に排他的であるため、一緒にリストすることはできません。 |
-R load_module | Name エントリーを照会するためのロード可能なモジュールを指定します。 |
パラメーター
項目 | 説明 |
---|---|
ALL | すべてのコマンド、デバイス、またはプロセスの場合。 |
Name | 変更するオブジェクトを指定します。 Name パラメーターは、-c、-d、-p、および -o のいずれのフラグが指定されているかに応じて解釈されます。 |
セキュリティー
lssecattr コマンドは特権コマンドです。 これは、モードを 755 に設定した root ユーザーおよびセキュリティー・グループによって所有されます。 このコマンドを正常に実行するには、以下の権限の少なくとも 1 つをもつロールを引き受ける必要があります。
項目 | 説明 |
---|---|
aix.security.cmd.list | -c フラグを指定したコマンドの属性をリストする場合に必要です。 |
aix.security.device.list | -d フラグを指定したデバイスの属性をリストする場合に必要です。 |
aix.security.file.list | -f フラグを指定したファイルの属性をリストする場合に必要です。 |
aix.security.proc.list | -p フラグを指定したプロセスの属性をリストする場合に必要です。 |
aix.security.dobject.list | -o フラグを指定したドメイン割り当てオブジェクトの属性をリストする場合に必要です。 |
アクセスされるファイル
項目 | 説明 |
---|---|
ファイル | モード |
/etc/security/privcmds | r |
/etc/security/privdevs | r |
/etc/security/privfiles | r |
/etc/security/domobjs | r |
例
- /usr/sbin/mount コマンドのアクセス許可および固有の特権を表示するには、次のコマンドを入力します。
lssecattr -c -a accessauths innateprivs /usr/sbin/mount
- /dev/mydev デバイスのすべてのセキュリティー属性を表示するには、次のコマンドを入力します。
lssecattr -d /dev/mydev
- LDAP 内の /dev/mydev デバイスのすべてのセキュリティー属性を表示するには、次のコマンドを入力します。
lssecattr -R LDAP -d /dev/mydev
- 2 つのプロセスの有効特権セットと使用済み特権セットの特権をコロン・フォーマットで表示するには、次のコマンドを入力します。
lssecattr -p -C -a eprivs uprivs 38483,57382
- /etc/security/user ファイルの読み取り許可リストを表示するには、次のコマンドを入力します。
lssecattr -f -a readauths /etc/security/user
- スタンザ・フォーマットでプロセスに使用された権限を表示するには、次のコマンドを入力します。
lssecattr -F -p -A 34890
- /dev/dev1 デバイスのすべてのドメイン属性を表示するには、次のコマンドを入力します。
lssecattr -o /dev/dev1
- ネットワーク・インターフェースの en0 デバイスのすべてのドメイン属性を表示するには、次のコマンドを入力します。
lssecattr -o en0