ugidfw
ユーティリティは、UID および GID によるファイルシステムオブジェクトの
アクセスを管理するために、
ipfw(8)
に似たインタフェースを提供します。
この機能は
mac_bsdextended(4) [英語]
mac(9) [英語]
ポリシによってサポートされています。
引数は次の通りです:
|
| add
|
新規の
ugidfw
ルールを追加します。
|
| add
subject
[ not]
[ uid uid]
[ gid gid]
object
[ not]
[ uid uid]
[ gid gid]
mode
arswxn
ルール番号を自動的に選んで、新規のルールを追加します。
文法の情報に関しては
set
の記述を参照して下さい。
|
| list
|
システム上に現在あるすべての
ugidfw
ルールリストを表示します。
|
| set rulenum
subject
[ not]
[ uid uid]
[ gid gid]
object
[ not]
[ uid uid]
[ gid gid]
mode
arswxn
新規のルールを追加するか、既存のルールを修正します。
引数は次の通りです:
|
|
| rulenum
|
| |
ルール番号。
小さいルール番号を持つエントリが先に適用されます。
最も頻繁にマッチするルールをリストの先頭に置く
(すなわち小さい番号にする) と、少々性能が良くなります。
|
| subject
[ not]
[ uid uid]
[ gid gid]
ルールが適用されるためには、
操作を実行する主体が
uid
や
gid
で指定されるユーザやグループにマッチすることが必要です
( not
が指定されている場合には、マッチ
しない
ことが必要です)。
|
| object
[ not]
[ uid uid]
[ gid gid]
ルールが適用されるためには、
オブジェクトが
uid
や
gid
で指定されるユーザやグループに所有されていることが必要です
( not
が指定されている場合には、所有されて
いない
ことが必要です)。
|
| mode arswxn
|
| |
chmod(1)
と同様、各文字がアクセスモードを表現します。
ルールが適用される場合、
指定されたアクセス権限がオブジェクトに対して強制されます。
ルール中に文字が指定されていた場合、ルールはその操作を許可します。
逆に、文字が指定されていない場合、その操作は拒否されます。
各文字の定義は次の通りです:
|
|
| a
|
管理者操作
|
| r
|
読み取りアクセス
|
| s
|
ファイル属性に対するアクセス
|
| w
|
書き込みアクセス
|
| x
|
実行アクセス
|
| n
|
無し
|
|
| remove rulenum
|
| |
指定したルール番号を持つルールを無効化し、削除します。
|
|
