従来、Linux および UNIX では、現在 POSIX ファイル権限と呼ばれているものをファイルシステムのアクセス制御に使用してきました。ファイルシステム オブジェクトには「所有者」および「グループ」があり、所有者、グループ、およびワールドに対して個別に読み取り、書き込み、および実行を設定できます。ワールドとは、所有者に対応しない
UID で実行されているすべてのプロセスで、そのグループ セットにはファイルのグループはありません。
Linux および多くの UNIX バリアントで、ファイルシステムのアクセス制御のためにアクセス制御リスト (ACL) も何らかの形でサポートされるようになりました。ACL の方が柔軟性が高く、いくつかの点で管理しやすいため、セキュリティを重視する組織では ACL について調べることをお勧めします。ただし、その使用は本ドキュメントの範囲外です。
権限は、シェル セッションで chmod などのコマンドを使用して対話的に設定できますが、Micro Focus では、スクリプトを使って、コマンド シーケンスを保存して繰り返し使用できるようにすることをお勧めします。
POSIX ファイル権限を使用して、「ファイルシステムの権限の強化」のトピックで推奨されているようにファイルシステムへのアクセスを制限する方法の 1 つを次に示します。
- 通常の Enterprise Server の操作に必要なシステム ファイル (プログラム、共有オブジェクト、データ ファイル) を特定します。通常、これらのファイルにはすべてのユーザーに対する適切な権限が設定されますが、場合によっては、ユーザーが OS またはインストール済みパッケージの一部の機能にアクセスするために、特定のグループのメンバーになることが必要となる場合があります。そのようなグループを特定したら、それらのグループをメモしておきます。
- 本章の説明に従って、Enterprise Server コンポーネントのユーザー アカウントを作成します。
- Enterprise Server で使用するユーザー グループを作成します。このグループを、前の手順で作成したユーザー アカウントのデフォルト グループにします。これにより、Enterprise Server プロセスによって作成された新しいファイルがこのグループに属するようになります。
- Enterprise Server に固有のファイルおよびディレクトリを変更して、Enterprise Server ユーザー アカウントのいずれか (通常はリージョンの実行に使用されるアカウント)、および前の手順で作成したグループによって所有されるようにします。これらのファイルが「ファイルシステムの権限の強化」のトピックで推奨されているように編成されている場合、この手順は、再帰オプションを使用していくつかの chown コマンドで実行できます。
- Enterprise Server のファイルにアクセスする必要があるユーザー アカウントが他にもある場合は、そのアカウントを手順 3 で作成したグループに追加します。
- Enterprise Server プロセスに対して umask を構成します。umask は、新しいファイルおよびディレクトリの作成に使用される権限を制御します (それらを作成するプロセスによってオーバーライドされない場合)。たとえば、umask が 0770 の場合は、所有者およびグループに対して読み取り、書き込み、および実行権限が許可されますが、他のプロセスについてはすべての権限がクリアされます。Enterprise Server プロセスの umask は、それらのプロセスの開始に使用されたシェルから継承されるため、たとえば、MFDS プロセスの場合は $COBDIR/bin/mfds シェル スクリプトで設定でき、MFDS を使用して起動されたすべてのリージョンに継承されます。