RedHawk Linux User's Guide version 6.3 日本語版

CCケーパビリティ本 付 録 では、RedHawk Linuxに 含 まれるケーパビリティと 各 ケーパビリティが 提 供 するパーミッションを 掲 載 します。概 要 3ケーパビリティ 3ケーパビリティは、スーパーユーザーに 関 連連 する 伝 統 的 な 権 限 が 個 別 に 有 効 および 無 効 にすることが 可 能 な 別 個 のユニットに 分 けられたLinuxの 方 式 です。 無 節 操 なユーザーは、Linuxが 提 供 するセキュリティ・メカニズムを 無 効 にするためのケーパビリティが 提 供 されたパーミッションの一 部邪 を 使 用 することが 可 能 であるため、この 機 能 は 十 分 に 注 意 して 使 用 する 必 要 があります。ケーパビリティは/usr/include/linux/capability.hで 定 義 されています。ケーパビリティをLinuxで 機 能 させる 方 法 に 関 する 詳 細 な 情 報 については、capabilities(7)のmanページを 参 照 して 下 さい。ケーパビリティを 利 用 した 認 証 スキームを 提 供 するPAM 機 能 に 関 する情 報 については、13 章 を 参 照 して 下 さい。本 セクションでは、RedHawk Linuxの 下 で 定 義 される 各 ケーパビリティより 提 供 されるパーミッションについて 説 明 します。 標 準 Linuxからの 機 能 だけでなくRedHawk Linux 独 自 の 機 能 もこの 説明 に 含 まれています。CAP_CHOWN本 ケーパビリティは、 有 効 なユーザーID、グループID、 追 加 グループIDの1つがファイルのUID/GID 属 性 と 一 致 しない 時 、ユーザーまたはグループのファイル 所 有 権 の 変 更 の 制 限 を 無 効 にします。CAP_DAC_OVERRIDE不 変 または 追 加 専 用 (chattr(1)を 参 照 して 下 さい)としてマークされたファイルによって 強 要 されたファイル・アクセス 制 限 を 除 き、アクセス 制 御 リスト(Access Control List: ACL)のサポートがファイルシステム 用 にカーネルに 構 成 されている 場 合 に、このケーパビリティは、どのようなファイルも 所 有 者 /グループ/その 他 ユーザー、 読 み 込 み/ 書 き出 し/ 実 行 のファイルシステム・パーミッション 属 性 とACL 制 限 を 標準 的 に 強 要 される 随 意 アクセス 制 御 (Discretionary Access Control:DAC)を 無 効 にします。( 詳 細 はacl(5)を 参 照 して 下 さい)読 み 込 みと 書 き 出 しのアクセスDAC 制 限 はこのケーパビリティによって 常 に 無 効 となる 可 能 性 があります。DAC 制 限 の 実 行 は、 少 なくとも1つの 所 有 者 /グループ/その 他 ユーザー、 実 行 ビットが 設 定 されている 限 りケーパビリティによって 無 効 となる 可 能 性 があります。本 ケーパビリティは、fbsintrpt(3)およびfbsresume(3)コマンドを 使用 している 時 にパーミッション・アクセス 制 限 もまた 無 効 とします。C-1