Date: Tue, 19 Nov 2013 10:07:16 +0000 (UTC) From: Ryusuke SUZUKI <ryusuke@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r43205 - in head/ja_JP.eucJP/books/handbook: basics security Message-ID: <201311191007.rAJA7G1f048373@svn.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: ryusuke Date: Tue Nov 19 10:07:16 2013 New Revision: 43205 URL: http://svnweb.freebsd.org/changeset/doc/43205 Log: - Merge the following from the English version: r17055 -> r17170 head/ja_JP.eucJP/books/handbook/basics/chapter.xml - Move "File System Access Control Lists" from Unix Basics chapter to Security chapter. head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/basics/chapter.xml head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/basics/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/basics/chapter.xml Tue Nov 19 08:50:46 2013 (r43204) +++ head/ja_JP.eucJP/books/handbook/basics/chapter.xml Tue Nov 19 10:07:16 2013 (r43205) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: 1.97 + Original revision: r17170 $FreeBSD$ --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="basics"> @@ -38,10 +38,6 @@ <para>Unix のファイルの許可属性の仕組み</para> </listitem> <listitem> - <para>ファイルシステムの <acronym>ACL</acronym> (アクセス制御リスト) - とは何か、またその使用法</para> - </listitem> - <listitem> <para>プロセス、デーモンとシグナルとはなにか</para> </listitem> <listitem> @@ -217,111 +213,6 @@ &man.chmod.1; マニュアルページを参照してください。</para> </sect1> - <sect1 xml:id="fs-acl"> - <info><title>ファイルシステムアクセス制御リスト</title> - <authorgroup> - <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>寄稿: </contrib></author> - </authorgroup> - </info> - - - - <indexterm> - <primary>ACL</primary> - </indexterm> - - <para>スナップショットのようなファイルシステムの拡張と連携して、 - FreeBSD 5.0 以降ではファイルシステムアクセス制御リスト - (<acronym>ACLs</acronym>) によるセキュリティを提供しています。</para> - - <para>アクセス制御リストは、標準的な UNIX のパーミッションモデルを、 - 非常に互換性の高い (POSIX.1e) やり方で拡張しています。 - この機能は、管理者がより洗練されたセキュリティモデルを利用し、 - その恩恵を受けられるようにします。</para> - - <para><acronym>UFS</acronym> ファイルシステム用の - <acronym>ACL</acronym> サポートを有効にするには、 - 次のオプションをカーネルに組み込まなければなりません。</para> - - <programlisting>options UFS_ACL</programlisting> - - <para>もしこのオプションが組み込まれていなければ、<acronym>ACLs</acronym> - に対応したファイルシステムをマウントしようとすると、 - 警告が表示されます。このオプションは <filename>GENERIC</filename> - カーネルに含まれています。<acronym>ACLs</acronym> - は、ファイルシステムの拡張属性が有効になっていることに依存しています。 - 拡張属性は、次世代 UNIX ファイルシステムである <acronym>UFS2</acronym> - でネイティブ対応されています。</para> - - <note><para><acronym>UFS1</acronym> に拡張属性を付すように設定するのは、 - <acronym>UFS2</acronym> よりも高いレベルの管理オーバヘッドが必要になります。 - また、<acronym>UFS2</acronym> - における拡張属性のパフォーマンスも大きく上がっています。 - その結果、アクセス制御リストを利用する上では、一般的には - <acronym>UFS1</acronym> よりも <acronym>UFS2</acronym> - の方がおすすめです。</para></note> - - <para><acronym>ACLs</acronym> は、マウント時の管理フラグ <option>acls</option> - で有効にされます。これは <filename>/etc/fstab</filename> に記述できます。 - マウント時のフラグは、&man.tunefs.8; - を使って、ファイルシステムヘッダのスーパブロックにある - <acronym>ACLs</acronym> フラグを変更するという方法で、 - 常に自動で設定されるようになります。一般的には、 - 下記の理由からスーパブロックフラグを使う方がよいでしょう。</para> - - <itemizedlist> - <listitem> - <para>マウント時に指定した <acronym>ACLs</acronym> フラグは再マウント - (&man.mount.8; <option>-u</option>) 時に変更できません。完全に - &man.umount.8; した上で、新たに &man.mount.8; - するしかありません。これは、起動後にルートファイルシステムで - <acronym>ACLs</acronym> を有効にできないことを意味します。 - また、ファイルシステムを利用し始めた後では、 - その配列を変えられないことも意味しています。</para> - </listitem> - - <listitem> - <para>スーパブロックフラグを設定すると、<filename>fstab</filename> - に記述されていなかったり、デバイスの順番が変わってしまっても、常に - <acronym>ACLs</acronym> が有効な状態でマウントされます。 - こうすることで、ファイルシステムを <acronym>ACLs</acronym> - を有効にしないままマウントしてしまい、<acronym>ACLs</acronym> - が正しくないかたちで強制され、 - セキュリティ問題につながることを防ぎます。</para> - </listitem> - </itemizedlist> - - <note><para><acronym>ACLs</acronym> の動作を変更して、まったく新たに - &man.mount.8; を行わなくてもフラグを有効にできるようにすることも可能でしょう。 - しかし、我々は、うっかり <acronym>ACLs</acronym> - を有効にしないでマウントしてしまうのを防ぐようにした方が望ましいと考えました。 - <acronym>ACLs</acronym> を有効にし、その後無効にしてから、 - 拡張属性を取り消さないでまた有効にしてしまうと、 - 鬱陶しい状態に自分で入り込んでしまえるからです。 - 一般的には、一度ファイルシステムで <acronym>ACLs</acronym> - を有効にしたら、無効にすべきではありません。そうしてしまうと、 - ファイル保護がシステムのユーザの意図と齟齬をきたす可能性があるばかりか、 - <acronym>ACLs</acronym> を再度有効にすると、 - それまでパーミッションが変更されてきたファイルに古い - <acronym>ACLs</acronym> を割り当ててしまい、 - 予想しない動作につながることも考えられます。</para></note> - - <para><acronym>ACLs</acronym> を有効にしたファイルシステムは、 - パーミッション設定の表示に <literal>+</literal> (プラス) - 記号がつきます。例えば、次のようになります。</para> - - <programlisting>drwx------ 2 robert robert 512 Dec 27 11:54 private -drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 -drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 -drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 -drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> - - <para>ここでは、ディレクトリ <filename>directory1</filename>, - <filename>directory2</filename> および <filename>directory3</filename> - のすべてで <acronym>ACLs</acronym> が働いています。 - ディレクトリ <filename>public_html</filename> は対象外です。</para> - </sect1> - <sect1 xml:id="dirstructure"> <title>ディレクトリ構造</title> <indexterm><primary>ディレクトリの階層構造</primary></indexterm> Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Tue Nov 19 08:50:46 2013 (r43204) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Tue Nov 19 10:07:16 2013 (r43205) @@ -80,6 +80,11 @@ modules using the TrustedBSD MAC Framework.</para> </listitem> --> + + <listitem> + <para>ファイルシステムの <acronym>ACL</acronym> (アクセス制御リスト) + とは何か、またその使用法</para> + </listitem> </itemizedlist> <para>この章を読む前に、次のことが必要になります。</para> @@ -4019,4 +4024,109 @@ user@unfirewalled.myserver.com's passwor </sect1> --> + + <sect1 xml:id="fs-acl"> + <info><title>ファイルシステムアクセス制御リスト</title> + <authorgroup> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>寄稿: </contrib></author> + </authorgroup> + </info> + + + + <indexterm> + <primary>ACL</primary> + </indexterm> + + <para>スナップショットのようなファイルシステムの拡張と連携して、 + FreeBSD 5.0 以降ではファイルシステムアクセス制御リスト + (<acronym>ACLs</acronym>) によるセキュリティを提供しています。</para> + + <para>アクセス制御リストは、標準的な UNIX のパーミッションモデルを、 + 非常に互換性の高い (POSIX.1e) やり方で拡張しています。 + この機能は、管理者がより洗練されたセキュリティモデルを利用し、 + その恩恵を受けられるようにします。</para> + + <para><acronym>UFS</acronym> ファイルシステム用の + <acronym>ACL</acronym> サポートを有効にするには、 + 次のオプションをカーネルに組み込まなければなりません。</para> + + <programlisting>options UFS_ACL</programlisting> + + <para>もしこのオプションが組み込まれていなければ、<acronym>ACLs</acronym> + に対応したファイルシステムをマウントしようとすると、 + 警告が表示されます。このオプションは <filename>GENERIC</filename> + カーネルに含まれています。<acronym>ACLs</acronym> + は、ファイルシステムの拡張属性が有効になっていることに依存しています。 + 拡張属性は、次世代 UNIX ファイルシステムである <acronym>UFS2</acronym> + でネイティブ対応されています。</para> + + <note><para><acronym>UFS1</acronym> に拡張属性を付すように設定するのは、 + <acronym>UFS2</acronym> よりも高いレベルの管理オーバヘッドが必要になります。 + また、<acronym>UFS2</acronym> + における拡張属性のパフォーマンスも大きく上がっています。 + その結果、アクセス制御リストを利用する上では、一般的には + <acronym>UFS1</acronym> よりも <acronym>UFS2</acronym> + の方がおすすめです。</para></note> + + <para><acronym>ACLs</acronym> は、マウント時の管理フラグ <option>acls</option> + で有効にされます。これは <filename>/etc/fstab</filename> に記述できます。 + マウント時のフラグは、&man.tunefs.8; + を使って、ファイルシステムヘッダのスーパブロックにある + <acronym>ACLs</acronym> フラグを変更するという方法で、 + 常に自動で設定されるようになります。一般的には、 + 下記の理由からスーパブロックフラグを使う方がよいでしょう。</para> + + <itemizedlist> + <listitem> + <para>マウント時に指定した <acronym>ACLs</acronym> フラグは再マウント + (&man.mount.8; <option>-u</option>) 時に変更できません。完全に + &man.umount.8; した上で、新たに &man.mount.8; + するしかありません。これは、起動後にルートファイルシステムで + <acronym>ACLs</acronym> を有効にできないことを意味します。 + また、ファイルシステムを利用し始めた後では、 + その配列を変えられないことも意味しています。</para> + </listitem> + + <listitem> + <para>スーパブロックフラグを設定すると、<filename>fstab</filename> + に記述されていなかったり、デバイスの順番が変わってしまっても、常に + <acronym>ACLs</acronym> が有効な状態でマウントされます。 + こうすることで、ファイルシステムを <acronym>ACLs</acronym> + を有効にしないままマウントしてしまい、<acronym>ACLs</acronym> + が正しくないかたちで強制され、 + セキュリティ問題につながることを防ぎます。</para> + </listitem> + </itemizedlist> + + <note><para><acronym>ACLs</acronym> の動作を変更して、まったく新たに + &man.mount.8; を行わなくてもフラグを有効にできるようにすることも可能でしょう。 + しかし、我々は、うっかり <acronym>ACLs</acronym> + を有効にしないでマウントしてしまうのを防ぐようにした方が望ましいと考えました。 + <acronym>ACLs</acronym> を有効にし、その後無効にしてから、 + 拡張属性を取り消さないでまた有効にしてしまうと、 + 鬱陶しい状態に自分で入り込んでしまえるからです。 + 一般的には、一度ファイルシステムで <acronym>ACLs</acronym> + を有効にしたら、無効にすべきではありません。そうしてしまうと、 + ファイル保護がシステムのユーザの意図と齟齬をきたす可能性があるばかりか、 + <acronym>ACLs</acronym> を再度有効にすると、 + それまでパーミッションが変更されてきたファイルに古い + <acronym>ACLs</acronym> を割り当ててしまい、 + 予想しない動作につながることも考えられます。</para></note> + + <para><acronym>ACLs</acronym> を有効にしたファイルシステムは、 + パーミッション設定の表示に <literal>+</literal> (プラス) + 記号がつきます。例えば、次のようになります。</para> + + <programlisting>drwx------ 2 robert robert 512 Dec 27 11:54 private +drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 +drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 +drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 +drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> + + <para>ここでは、ディレクトリ <filename>directory1</filename>, + <filename>directory2</filename> および <filename>directory3</filename> + のすべてで <acronym>ACLs</acronym> が働いています。 + ディレクトリ <filename>public_html</filename> は対象外です。</para> + </sect1> </chapter>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201311191007.rAJA7G1f048373>