MSVS 3.0の資格モデルについてはすでに書いています。 この記事では、資格情報アクセスを設定するための構成ファイルとユーティリティについて説明します。 この記事には、原理と特性の理論的な説明はほとんどありません。 ここでは、3つの必須アクセスの設定ファイル、グラフィックス、およびコンソールプログラムについて説明します。
この記事で説明するすべてのコンソールコマンドには--helpオプションがあります。 ヘルプページをコピーアンドペーストしたくありませんでしたが、読むことを強くお勧めします。興味深いことがたくさんあります。 記事では、コマンドを使用するための最も一般的なオプションを示しました。いくつかの情報ファイルへのアクセスに関する任意の制限に加えて、MSWSには必須のアクセス制限があります。 アクセスの資格情報の制限の動作原理は、ファイルの資格情報ラベルとファイルにアクセスするユーザーの資格情報ラベルを比較することです。 ファイルへのユーザーアクセスの形式は、比較の結果によって異なります。
ラベルは、セキュリティレベルと一連のカテゴリで構成されます。 レベルの最大数は8です。カテゴリの最大数は61です。カテゴリとレベルは、数値とその値に対応する名前で構成されます。 カテゴリーの場合、16進形式の数値。 たとえば、レベルの値は0
10で、名前は「Not Secret」です。 カテゴリの値は0000000000000002
16で、名前は「Communication Troops」です。
ファイルにアクセスするとき、書き込み/読み取り/開始の必須レベル/カテゴリを無視するように設定できます。
OS MSVS 3.0の
委任モデルについて詳しく説明しました。
適切に構成された資格情報アクセスは、開発および管理中の問題を回避するのに役立ちます。 システムに存在するレベルとカテゴリは、構成ファイルに記述されています。
構成ファイル1. / etc / security / mac_levels-ファイルには、セキュリティレベルの数値と名前の関係が保存されます。
2. / etc / security / mac_categories-ファイルには、16進数システムのカテゴリの数値とその名前の関係が保存されます。
これら2つのファイルの形式は次のとおりです。
名前:値
名前-カテゴリまたはレベルの名前、値-レベルまたはカテゴリの数値。
3. / etc / security / mac-ファイルにはユーザーの資格情報が保存されます。
ファイルの形式は次のとおりです。
ユーザー名:min_level:min_category:max_level:max_category
このファイルの各行は、システムのユーザーの1人を指します。 Min_level、min_category、max_level、max_category-最大および最小レベルとカテゴリーの数値。 多くの場合、min_levelとmin_categoryはユーザーに対して設定されません。その場合、それらの値は最小値に等しくなります。 したがって、ユーザーは0から許可された最大レベルまでのレベルを使用できます。
すべての構成ファイルで、コメントは「#」で始まります。
システムのセットアップmacadminグラフィカルユーティリティを使用して、セキュリティレベルとカテゴリの数を管理することもできます。 システムのセキュリティレベルとカテゴリを追加および削除できます。
ユーザー設定ユーザー資格情報を管理するには、グラフィカルシェルコマンドとコンソールコマンドの両方を使用できます。 グラフィカルモードでラベルを管理するには、ユーティリティ
useradminを使用できます。 このユーティリティを使用して新しいユーザーを追加する場合、セキュリティレベルと最大許容カテゴリを設定する必要があります。 ユーザー編集モードでも、[セキュリティ]タブで資格情報マークを変更できます。
セキュリティの最大レベル、カテゴリの最大セットを設定することもできます。 ユーザー特権MCBC_CAP_SETMAC、MCBC_CAP_CHMAC、MCBC_CAP_IGNMACLVL、MCBC_CAP_IGNMACCATを付与することもできます。
コンソールモードでユーザーラベルを編集するには、usermacコマンドがあります。 このコマンドにより、ユーザー資格情報をより柔軟に構成できます。 ほとんどの場合、「-m」スイッチとともに使用され、ユーザーの資格情報を変更します。
usermac –m 0:2 userこのコマンドは、ユーザーをユーザーに設定し、最小セキュリティレベルを0に等しい数値で設定し、最大セキュリティレベルを2に等しい数値で設定します。
macidコマンドを使用して現在のユーザー
macidを表示すると便利です。
結果は、現在のユーザーの現在の瞬間におけるセキュリティレベルとカテゴリです。
ファイル設定ファイルに資格マークを割り当てるために、システムにはグラフィカルユーティリティとコンソールユーティリティもあります。 グラフィカルユーティリティを呼び出すには、[ファイルプロパティ]ウィンドウで[必須属性]タブを選択します(ファイルを右クリックして[プロパティ]をクリックします)。
このユーティリティでは、ファイルにセキュリティレベルを割り当てることができます。 このファイルが属するカテゴリを選択します。 さらに、レベル(最上行)およびカテゴリ(最下行)の資格情報を無視するように指定できます。
ディレクトリのプロパティを編集する場合、選択したセキュリティレベルと一連のカテゴリは、「再帰的」ボックスをチェックすることにより、ディレクトリに含まれるすべてのオブジェクトに再帰的に適用できます。
コンソールモードでファイルのラベルを管理するには、chmacコマンドを使用します。
chmac –R 2 /tmpこのコマンドは、再帰的に/ tmpディレクトリに数値2のセキュリティレベルを割り当てます。
標準コマンドの拡張上記の個々のアクセス制御コマンドに加えて、標準コマンドの拡張機能があります。
ls –M資格情報ファイルのラベルを表示します
ps –M実行中のプロセスの資格ラベルに関する情報
find –level / -category / -mac-attrセキュリティレベル、カテゴリ、または属性でファイルを検索します。
これらのユーティリティは、MSVS 3.0で資格情報モデルを構成するためのツールです。 それ以上、それは私には思えます。