| 前へ | 次へ | 目次 | 索引 |
表 10-1 に示すコマンドと修飾子を使い,ファイルの所有権と保護情報を表示することができます。
| コマンド | 表示情報 |
|---|---|
| DIRECTORY/ACL ファイル指定 | ファイルの ACL |
| DIRECTORY/OWNER_UIC ファイル指定 | ファイルの所有者の UIC |
| DIRECTORY/PROTECTION ファイル指定 | ファイルの UIC に基づく保護情報 |
| DIRECTORY/SECURITY | 上記のすべての情報 |
| DIRECTORY/FULL ファイル指定 | 上記のすべての情報と他の非機密保護情報 |
| SHOW DEVICES/FULL 装置名 | 装置の UIC と保護情報 |
| SHOW PROCESS | プロセスの UIC |
| SHOW PROTECTION | 省略時のファイル保護情報 |
| SHOW SECURITY | 上記のすべての情報 |
テープ・ボリュームはディレクトリ構造を持ちませんが, DIRECTORY コマンドを使用して,テープ・ボリューム上のファイルを検索することができます。 第 10.7 節 では,テープ・ファイルにアクセスして,読み込みまたは書き込みを行う方法と, テープに対する DIRECTORY コマンドの使用法を説明します。
DCL の SHOW PROTECTION コマンドは,プロセスに対する現在の省略時の保護情報を表示します。ターミナル・セッション中に作成されるファイルやバッチ・ジョブには,この省略時の保護が適用されるため,ディレクトリや既存のバージョンの省略時の保護を適用することはできません。
SHOW PROTECTION コマンドを使用して磁気テープの省略時の保護情報を表示するためには,磁気テープを初期化する INITIALIZE コマンドに /PROTECTION 修飾子が指定されている必要があります。この指定が行われていない場合,保護コードが磁気テープ・ボリュームに書き込まれることはありません。磁気テープ・ボリュームの初期化については, 第 9.3 節 を参照してください。 |
次に,SHOW PROTECTION コマンドを使用したディスク・ファイルの保護属性の表示例を紹介します。
$ SHOW PROTECTION SYSTEM=RWED, OWNER=RWED, GROUP=RE, WORLD=NO ACCESS |
現在の省略時の保護属性の表示を要求する SHOW PROTECTION コマンドの例です。
10.5.3 ディスク・ファイルの保護
ディスク上の各ファイルには,ディスク・ボリュームそのものに適用される保護とは明確に異なる,独自の保護コードを設定することができます。ディスク・ボリューム上のファイルに設定されるアクセス権を 表 10-2 に示します。
| アクセス権 | 与えられる権利 |
|---|---|
| 読み込み | ディスク・ファイルの読み込み,プリント,コピーを行う権利。このアクセス権には,ディスク上の指定したファイルまたはファイルのグループへの実行アクセス権が自動的に含まれる。 |
| 書き込み | ファイルへの書き込みおよびファイルの内容を変更する権利。しかし,ファイルを削除することはできない。書き込みアクセス権によって,ファイルの内容を表すファイル属性を変更することができる。 |
| 実行 | 実行形式のプログラム・イメージまたは DCL コマンド・プロシージャを含むファイルの実行アクセス権利。 |
| 削除 | ファイルを削除する権利。ファイルを削除するには, ファイルに対して削除アクセス権があり,ファイルを含むディレクトリに対して書き込みアクセス権が必要である。 |
| 制御 | 保護コードおよび ACL を含むファイルの属性を変更する権利。 ファイルの所有者の変更には,特殊な制限が適用される。 |
ファイルの作成時に保護コードが設定されなかった場合,システムは省略時の保護コードを割り当てます。ただし,ファイルのバージョンがすでに存在する場合は,前のバージョンの保護コードが適用されます。
新規ファイルの場合,システムは次の 2 つの方法で適用する保護コードを決定します。
ディスク・ボリュームの各ファイルの保護属性が同じである必要はありません。SECURITY/PROTECTION などのファイル操作コマンドを使って,ファイルごとに異なる保護属性を設定することができます。
ファイルを完全に保護するためには,ファイルと,それが含まれるディレクトリの両方を保護する必要があります。すなわち,権限を持たないユーザがファイルにアクセスしないようにしたい場合は,ファイルが含まれるディレクトリとファイルそのものに適切な保護設定をしてください。ディレクトリの保護方法については, 第 10.5.4 項 で詳しく説明します。 |
以降の節では,次の作業について説明します。
| 作業 | 参照箇所 |
|---|---|
| 省略時のディスク・ファイル保護 | 第 10.5.3.1 項 |
| ディスク・ファイル保護の明示設定 | 第 10.5.3.2 項 |
| ディスク・ファイル保護属性の変更 | 第 10.5.3.3 項 |
新たに作成されたファイルは,省略時の UIC に基づく保護と,親ディレクトリの省略時の ACE (アクセス制御エントリ) の保護 (親ディレクトリにそうしたエントリがある場合) を受けます。また,既存のファイルに新しいバージョンが作成された場合は,前のバージョンの UIC に基づく保護と ACL が設定されます。
RENAME/INHERIT コマンドを使用しないかぎり,ファイル名を変更しても保護属性が変わることはありません。
オペレーティング・システムは,各プロセスに省略時の UIC に基づく保護として (S:RWED,O:RWED,G:RE,W) を割り当てます。このプロセスで作成されたファイルに適用されるこの省略時の保護を変更する場合は,次の形式の SET PROTECTION/DEFAULT コマンドを使用します。
SET PROTECTION[=(コード)]/DEFAULT |
| コード | 指定したファイルに適用される保護属性を定義する。このコードを指定しなかった場合は,アクセスは現行の省略時の保護属性に設定される。 |
たとえば,ログイン・コマンド・プロシージャに次のコマンドを登録しておくと,それ以降に作成されるすべてのファイルに対する読み込みおよび実行アクセス権がすべてのプロセスに付与されます。
$ SET PROTECTION = (S:RWED,O:RWED,G:RE,W:RE)/DEFAULT |
このコマンドを実行するためには,ログイン・コマンド・プロシージャを実行する必要があります。
10.5.3.2 ディスク・ファイル保護の明示設定
次に示す形式で /PROTECTION 修飾子を使用すると,新しいファイルに対する UIC に基づく保護を明示的に設定することができます。この修飾子が使用可能なコマンドは,BACKUP,COPY,RENAME, CREATE です。
$ CREATE MAST12.TXT/PROTECTION=(S:RWED,O:RWED,G,W) |
また,新たに作成したファイルに対して ACL を作成した場合は,必要なだけ ACL に ACE を登録することができます。ACL に指定した保護は,ファイルの UIC に基づく保護に優先します。
次の例では,保護コードのチェック例と指定例をいくつか紹介します。
$ SHOW PROTECTION SYSTEM=RWED, OWNER=RWED, GROUP=RE, WORLD=NO ACCESS |
SHOW PROTECTION コマンドで,現在のシステムの省略時の保護コードを表示している。
この例では,システムの省略時の保護であることが示されている。システムと所有者がすべてのアクセス権,グループ・ユーザが読み込みアクセス権と実行アクセス権を持ち,一般ユーザにはアクセス権がないことがわかる。
$ SHOW SECURITY IMAGES.DIR
DBA1:[SADAMS]IMAGES.DIR;1 object of class FILE
Owner: [SAM,SADAMS]
Protection: (System: RWE, Owner: RWE, Group: RE, World: E)
Access Control List:
(IDENTIFIER=[SAM,SADAMS],ACCESS=READ+WRITE+EXECUTE+DELETE+CONTROL)
|
この例では,SHOW SECURITY コマンドで IMAGES.DIR ファイルの現在の保護属性を表示している。
$ DIRECTORY/SECURITY IMAGES.DIR
Directory DBA1:[SADAMS]
IMAGES.DIR;1 [VMS,SADAMS] (RWE,RWE,RE,E)
(IDENTIFIER=[VMS,SADAMS],ACCESS=READ+WRITE+EXECUTE+DELETE+CONTROL)
Total of 1 file.
|
この例では,DIRECTORY コマンドに /SECURITY 識別子を指定することにより,IMAGES.DIR ファイルの現在の保護属性を表示している。
$ COPY/PROTECTION=(SYSTEM:RW,OWNER:RWED,GROUP:RW,WORLD) ABC.DAT XYZ.DAT |
この例では,/PROTECTION 修飾子で,ABC.DAT ファイルを XYZ.DAT ファイルにコピーするときに保護コードを指定している。
$ SET SECURITY/PROTECTION=(SYSTEM:RWE,OWNER:RWED,GROUP:RE,WORLD) ABC.DAT |
この例では,SECURITY/PROTECTION コマンドで,既存のファイルの保護コードを変更している。 ABC.DAT ファイルについてこのコマンドが与えている指示は,システム・ユーザには読み込み,書き込み,および実行のアクセス権を,所有者には読み込み,書き込み,実行,および削除のアクセス権を,グループ・ユーザには読み込みと実行のアクセス権を付与し,一般ユーザにはアクセス権を付与しないというものである。
システムと所有者には暗黙で制御アクセス権が付与され,変更されることはないが,グループと一般ユーザには,そうした制御権は与えられない。
10.5.3.3 ディスク・ファイルの保護属性の変更
ファイルの保護属性の設定と変更する DCL コマンドを 表 10-3 に示します。
| コマンド | 説明 | 参照箇所 |
|---|---|---|
| SET DIRECTORY | ディレクトリの属性を変更する。ディレクトリの保護属性は,ディレクトリに含まれるファイルの保護属性に優先することがある。 | 第 10.5.4 項 |
| SET FILE | バージョン制限などのファイルの属性を変更する。 | 第 10.5.3.3.2 項 |
| SET PROTECTION/DEFAULT | ファイルに対する省略時の UIC 保護を設定する。 | 『OpenVMS Guide to System Security』 |
| SET SECURITY | オブジェクトの機密保護プロファイルを変更する。このプロファイルには,次の属性が含まれる。
|
『OpenVMS Guide to System Security』,『Compaq OpenVMS DCL ディクショナリ』 |
| SET VOLUME | マウント済みの Files-11 ボリュームの属性を変更する。 /FILE_PROTECTION 修飾子を使用すると,指定したディスク・ボリュームのすべてのファイルに適用する省略時の保護を設定することができる。 | 第 9.4.1.2 項 |
これらの DCL コマンドで使用可能な修飾子とパラメータについての詳細は,『Compaq OpenVMS DCL ディクショナリ』を参照してください。
ファイルの保護属性を変更する場合は,次の形式で行います。
SET SECURITY/PROTECTION = コード ファイル指定[,...] |
| コード | 指定したファイルに適用される保護属性を定義する。このコードは省略できない。 |
| ファイル指定 | 保護属性を変更するファイルを指定する。ファイル名およびファイル・タイプが必要。バージョン番号を省略した場合は,既存のファイルの最新バージョンについてのみ,保護属性が変更される。ワイルドカード文字を使用できる。 |
この後の例では,ファイルの保護属性の変更方法をいくつか紹介します。
$ DELETE INCOME.DAT;3 %DELETE-W-FILNOTDEL, error deleting DISK1:[SMITH]INCOME.DAT;3 -RMS-E-PRV, insufficient privilege or file protection violation $ SET SECURITY/PROTECTION=OWNER:D INCOME.DAT;3 $ DELETE INCOME.DAT;3 |
この例では,INCOME.DAT;3 が削除禁止になっていたため, SET SECURITY/PROTECTION コマンドで所有者の削除アクセス権だけを変更している。この変更によって,所有者は INCOME.DAT;3 ファイルを削除することができた。
$ SET SECURITY/PROTECTION=(SYSTEM:R,OWNER:RWED,GROUP:RW) PAYROLL.LIS |
この例では,SET SECURITY/PROTECTION コマンドを使用して,PAYROLL.LIS ファイルの保護コードを変更している。
このファイルに対しては,システムに読み込みアクセス権,所有者に読み込み,書き込み,実行,および削除のアクセス権,所有者のグループのメンバに読み込みおよび書き込みのアクセス権を付与している。
DCL の SET FILE コマンドを使用して,ファイルの属性を変更したり,ファイルに対して追加名すなわち別名を割り当てることができます。 この後の例では,このコマンドの使用例をいくつか紹介します。
$ SET FILE/EXPIRATION_DATE=15-APR-2000:11:00 BATCH.COM;3 |
この例では,SET FILE コマンドを使用して,BATCH.COM;3 というファイルの満了日を 2000 年 4 月 15 日の午前 11:00 と設定している。
$ SET FILE/BEFORE=15-APR-00/ERASE_ON_DELETE PERSONNEL*.SAL |
この SET FILE コマンドはファイル指定 PERSONNEL*.SAL に一致するファイルで,日付が 2000 年 4 月 15 日より前のすべてのファイルを探し出し, DELETE あるいは PURGE などのコマンドで削除されるファイルをディスクから消去する。
$ SET FILE/OWNER_UIC=[DOCUMENTATION,GRAY]/VERSION_LIMIT=100 MYFILE.DAT |
MYFILE.DAT というファイルの属性を変更している例。所有者 UIC を変更し,ファイルのバージョン制限値として 100 を設定している。 /OWNER_UIC 修飾子を使用するためには,システムまたはグループ・レベルで所有権を変更するための SYSPRV か GRPPRV 特権が必要になる。
$ SET FILE OLD_FILENAME.DAT/ENTER=NEW_FILENAME.DAT |
この例では,OLD_FILENAME.DAT ファイルに別名 (NEW_FILENAME.DAT) を割り当てている。元のファイル名および別名はともに同一のファイルを参照するため,別名を使用してファイルを削除する場合には注意が必要である。ファイルを保存し,ファイル名の 1 つを除去する場合は, SET FILE コマンドに /REMOVE 識別子を指定する。ファイル名にワイルドカード文字は使用できない。詳細は『Compaq OpenVMS DCL ディクショナリ』を参照。
| 前へ | 次へ | 目次 | 索引 |