UGIDFW(8) |
FreeBSD System Manager's Manual |
UGIDFW(8) |
名称
ugidfw —
ファイルシステムオブジェクトに対するファイアウォール的なアクセス制御
書式
ugidfw |
add subject [ not][ [ !] uid uid | minuid:maxuid][ [ !] gid gid | mingid:maxgid][ [ !] jailid jailid] object [ not][ [ !] uid uid | minuid:maxuid][ [ !] gid gid | mingid:maxgid][ [ !] filesys path][ [ !] suid][ [ !] sgid][ [ !] uid_of_subject][ [ !] gid_of_subject][ [ !] type ardbclsp] mode arswxn |
ugidfw |
set rulenum subject [ not][ [ !] uid uid | minuid:maxuid][ [ !] gid gid | mingid:maxgid][ [ !] jailid jailid] object [ not][ [ !] uid uid | minuid:maxuid][ [ !] gid gid | mingid:maxgid][ [ !] filesys path][ [ !] suid][ [ !] sgid][ [ !] uid_of_subject][ [ !] gid_of_subject][ [ !] type ardbclsp] mode arswxn |
解説
ugidfw ユーティリティは、UID および GID によるファイルシステムオブジェクトのアクセスを管理するために、
ipfw(8) に似たインタフェースを提供します。この機能は
mac_bsdextended(4)
mac(9) ポリシによってサポートされています。
引数は次の通りです:
-
add
subject
...
object
...
mode
arswxn
-
ルール番号を自動的に選んで、新規のルールを追加します。文法の情報に関しては
set の記述を参照して下さい。
-
list
-
システム上に現在あるすべての
ugidfw ルールリストを表示します。
-
set
rulenum
subject
...
object
...
mode
arswxn
-
新規のルールを追加するか、既存のルールを修正します。引数は次の通りです:
-
rulenum
-
ルール番号。小さいルール番号を持つエントリが先に適用されます。最も頻繁にマッチするルールをリストの先頭に置く (すなわち小さい番号にする) と、少々性能が良くなります。
-
subject [
not][
[ !] uid uid | minuid:maxuid][
[ !] gid gid | mingid:maxgid][
[ !] jailid jailid]
-
操作を実行するサブジェクトは、与えられたすべての条件に適合しなければなりません。先行する
not は、サブジェクトが残りの記述に適合しないことを意味します。特定の条件を示す
! が前に付けられた条件は、サブジェクトに適合すべきではありません。特定の
uid そして/または、
gid を持つためにサブジェクトを要求できます。コロンによって区切られ、uid/gid の範囲を指定することができます。
jailid で、特定の jail (刑務所) となるためにサブジェクトを要求することができます。
-
object [
not][
[ !] uid uid | minuid:maxuid][
[ !] gid gid | mingid:maxgid][
[ !] filesys path][
[ !] suid][
[ !] sgid][
[ !] uid_of_subject][
[ !] gid_of_subject][
[ !] type ardbclsp]
-
ルールは、すべての指定された条件に適合するオブジェクトだけに適用されます。先行する
not は、オブジェクトが残りの条件にすべて適合すべきでないことを意味します。特定の条件を示す
! が前に付けられた条件は、オブジェクトに適合すべきではありません。オブジェクトは、
uid および/または
gid によって指定されたユーザおよび/またはグループによって所有されていなければなりません。コロンによって区切られ、 uid/gid の範囲を指定することができます。オブジェクトは、
filesys を使用してファイルシステムを指定することによって特定のファイルシステムでなければなりません。注意、ファイルシステムがアンマウントされ、再マウントされるなら、ルールは正しいファイルシステム ID が使用されることを保証するために再び適用される必要があります。オブジェクトは、
suid または
sgid ビットの設定がなければなりません。オブジェクトの所有者は、操作を試みる
uid_of_subject または
gid_of_subject に適合しなければなりません。オブジェクトのタイプは次のタイプのサブセットに制限されます。
-
a
-
あらゆるファイルタイプ
-
r
-
通常ファイル
-
d
-
ディレクトリ
-
b
-
ブロックペシャルデバイス
-
c
-
キャラクタスペシャルデバイス
-
l
-
シンボリックリンク
-
s
-
unix ドメインソケット
-
p
-
名前つきパイプ (FIFO)
-
mode
arswxn
-
chmod(1) と同様、各文字がアクセスモードを表現します。ルールが適用される場合、指定されたアクセス権限がオブジェクトに対して強制されます。ルール中に文字が指定されていた場合、ルールはその操作を許可します。逆に、文字が指定されていない場合、その操作は拒否されます。各文字の定義は次の通りです:
-
a
-
管理者操作
-
r
-
読み込みアクセス
-
s
-
ファイル属性に対するアクセス
-
w
-
書き込みアクセス
-
x
-
実行アクセス
-
n
-
無し
-
remove
rulenum
-
指定したルール番号を持つルールを無効化し、削除します。
歴史
ugidfw ユーティリティは、
FreeBSD 5.0 ではじめて登場しました。
作者
このソフトウェアは、 NAI Labs, the Security Research Division of Network Associates Inc. が、DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) のもとに、
FreeBSD Project に寄贈しました。