Maple Engine Security のファイル設定
|
ファイル設定
|
|
•
|
Maple のセキュリティにおいてファイル設定とは以下のような形式の文字列を指します。
|
(1) <fully-qualified-file-name>
または
(2) <fully-qualified-directory-name><dirsep>*
または
(3) <fully-qualified-directory-name><dirsep>...
上記文字列で、<dirsep> はプラットフォームによって「/」か「\」になります。終了スラッシュは使用できません。形式 (3) はロード可能な外部ライブラリの指定には使用できません。
•
|
ファイル指定は絶対ファイル名と照合されます。形式 (1) の場合は <fully-qualified-file-name> との完全一致が確認されます。形式 (2) の場合は <fully-qualified-directory-name> 直下のファイルおよびディレクトリとの一致が確認されます。形式 (3) の場合は <fully-qualified-directory-name> 配下すべてのファイルおよびディレクトリとの一致が確認されます。
|
|
例
|
|
/home/muser/foo.so
/home/muser/bar/...
/home/muser/foo.so
/home/muser/bar/*
/*
/...
以下は無効なファイル設定の例です。
/home/*/bar/...
/home/muser/*.so
/home/muser/bar/
|
|
|
ファイルによるファイル設定
|
|
•
|
ファイル設定リストをファイルで用意する場合は以下の形式で記述されている必要があります。
|
[-|+]<spec>
[-|+]<spec>
.
.
.
先頭の「+」はその指定が「許可」の対象であり、先頭の「-」はその指定が「拒否」の対象であることを示します。
|
例
|
|
•
|
以下のようなエントリを含むファイルは有効なファイル設定ファイルです。
|
-/...
+/home/muser/...
-/home/muser/bar/...
+/home/muser/bar/mylib.so
上記設定の対象が読み取り可能なファイルの場合、home/muser/bar/mylib.so 以外のファイルの読み取りが許可されない home/muser/bar を除く home/muser ディレクトリ配下のファイルの読み取りが可能です。
|
|
|
照合の規則
|
|
•
|
特定のファイル(またはディレクトリ)に対して特定の操作が可能かどうかを確認する場合、Maple はファイル名を適切な許可または拒否設定リストと比較します。許可は一番明確な一致に基づいて判断されます。許可とも拒否とも明確に判断できない場合は、拒否と見なされます。
|
•
|
「*」および「...」が使用されていない設定では、一致する部分が長いほど明確な一致になります。それ以外では、
|
<path><dirsep><base-file-name>
は以下より一致する部分が長いと見なされ、
<path><dirsep>*
は、以下より一致する部分が長いと見なされます。
<path><dirsep>...
|
例
|
|
•
|
以下の読み取り可能なファイル設定を想定します。
|
+/home/muser/...
+/home/muser/a
-/home/muser/c
-/home/muser/*
+/home/muser/c
/home/muser/a および /home/muser/foo/b は読み取り可能と見なされますが、/home/muser/b および /home/muser/c は読み取り不可能と見なされます。これは、以下の理由によります。
/home/muser/a は +/home/muser/a と一番一致する;
/home/muser/foo/b は +/home/muser/... と一番一致する;
/home/muser/b は -/home/muser/* と一番一致する;
/home/muser/c は -/home/muser/c および +/home/muser/c の両方と一番一致するが「-」の指定が優先される。
|
|
|
Download Help Document
Was this information helpful?