Interstage資源ファイルが外部ネットワークからの侵入者によって破壊(資源ファイルの書替え・削除など）されて、システムが運用不能になることを防ぐために、以下の基本ルールに沿ってシステムを運用する必要があります。

• システム運用中のアプリケーション動作権限を「特定ユーザ」に固定すること。

• システム運用中に生成される資源が「特定ユーザ」以外のユーザによって書き替えられないよう、資源ファイルの権限属性が限定されていること。

  一般ユーザによる資源の改ざんなどを防ぐために、Interstageのインストールフォルダ配下のフォルダおよびファイルに対し、“Everyone（フルコントロール）”などの不特定のユーザからのアクセスを許すアクセス権を付けないことをお勧めします。
  issetfoldersecurityコマンドを使用することで、インストールフォルダ配下のフォルダおよびファイルに対して、不特定のユーザからのアクセスを防ぐ権限に変更することができます。issetfoldersecurityコマンドについては、“リファレンスマニュアル（コマンド編）”を参照してください。

  本製品インストール時にセキュリティモードを選択します。強化セキュリティモード(デフォルト)を選択した場合、セキュリティを強化した状態でインストールします。これにより、Interstage関連のプログラムの実行権限やファイルのアクセス権限レベルが強化セキュリティモードで指定したグループになります。セキュリティモードとして互換セキュリティモードを選択した場合、旧版の製品と同レベルのアクセス権限でインストールします。

  なお、インストール後も、issetsecuritymodeコマンドを使用することで、強化セキュリティモードもしくは互換セキュリティモードに設定することができます。issetsecuritymodeコマンドについては、“リファレンスマニュアル（コマンド編）”を参照してください。

  強化セキュリティモードにすることによって、一部のコマンドは一般ユーザの利用権限から、強化セキュリティモード設定で指定したグループの利用権限に変更されます。強化セキュリティモードでroot以外のユーザがこれらのコマンドを実行する場合、ユーザの実効グループを強化セキュリティモードで指定したグループにしてください。

• useraddによる新規ユーザ作成時に強化セキュリティモードで指定したグループを所属グループとして指定

• newgrpによる変更

実効グループの変更および確認方法はOSのドキュメントを参照してください。

システムから強化セキュリティモードで指定したグループを削除する場合は、事前に強化セキュリティモードのグループを別のグループに変更してください。