|
Interstage Application Server セキュリティシステム運用ガイド
|
目次
索引
 
|
A.2.2.5 セキュリティ強化環境設定コマンドの実行
以下のコマンドを実行してください。
- /opt/FSUNtd/bin/tdsecmode
- /opt/FJSVtd/bin/tdsecmode
上記コマンドは、各システムに対して一度実行すれば、それ以降有効となります。Interstageの再初期化を行っても、本コマンドを再実行する必要はありません。
tdsecmodeコマンドでは、セキュリティの強化レベルとして、以下の2つを指定することができます。
- level1(レベル1)
以下のセキュリティ強化を行います。
- システム運用中のアプリケーション動作権限を「特定ユーザ」に固定します。
- システム運用中に生成される資源(ファイルおよびディレクトリ)が、「特定ユーザ」以外のユーザによって書き替えられないよう、資源ファイルの権限属性を限定します。
- level2(レベル2)
level1のセキュリティ強化に加え、コンポーネントトランザクションサービス関連パッケージが使用するIPC資源を、「特定ユーザ」以外のユーザによってアクセスできないように、権限属性を限定します。
level2で運用する場合には、「特定ユーザ」の実効グループを、Interstageを起動したスーパユーザの実効グループと一致させる必要があります。
セキュリティ強化環境へ対応するには、レベル2を指定してください。
tdsecmodeコマンドについては、“リファレンスマニュアル(コマンド編)”を参照してください。
なお、特定ユーザは、システム単位に指定可能です。
ここまでの作業を行えば、コンポーネントトランザクションサービスのセキュリティ強化環境の設定は完了です。
セキュリティ強化環境における運用操作は、以下の条件で行ってください。
- 従来、スーパユーザのみ実行可能なコマンドについては、スーパユーザで実行してください。
- 従来、一般ユーザが実行可能なコマンドは、スーパユーザまたは特定ユーザで実行してください。
- 特定ユーザでコマンドを実行する場合、特定ユーザの実効グループを、Interstage起動操作を行ったスーパユーザの実効グループと同じにしてください。
- 一般ユーザが実行可能なコマンドを、特定ユーザ以外のユーザで実行した場合、異常となる場合があります。何らかの異常が発生した場合には、特定ユーザの実効グループとInterstage起動時のスーパユーザの実効グループが同じかを確認してください。
All Rights Reserved, Copyright(C) 富士通株式会社 2006