selangコマンドで設定したルールが有効になる時期と例外についての説明です。

Release: All Version (UNIX/Linux/Windows)

Component:

selangコマンドで設定したルールは、以下の例に示すように通常は設定した直後から有効となります。

例）FILEルールの場合

# selang

AC> nf /tmp/test.txt owner(nobody) audit(all) defacc(none)

AC> exit

# cat /tmp/test.txt

cat: /tmp/test.txt: Permission denied

しかし、以下に示すルールあるいは属性に関しては、有効になるタイミングが設定した直後になるとは限りませんので注意が必要です。

1.SPECIALPGMルール

SPECIALPGMルールは、リソースとしてプログラム名を指定しバイパスの設定な

どを行うものですが、設定したルールが有効となるのはルール設定後に起動された

プログラムに対してであり、既に起動されているプログラムに対しては設定した

ルールは有効になりません。

既に起動状態になっているプログラムに対しては、そのプログラムを再起動するか、

あるいはCA ControlMinderを再起動することにより、設定したルールを有効にす

ることができます。

2.USERのAUDIT属性のうちTRACEおよびINTERACTIVE

これらの属性はユーザトレースおよびキーボードロガーの機能を、指定したユーザ

に対して有効化するものですが、設定が有効となるのは設定後にログインしたユー

ザのセッションに対してであり、既にログイン済みのユーザあるいは過去にログイ

ンしたユーザが起動したデーモン（ユーザトレースの場合）に対しては有効となり

ません。デーモンについてはそのユーザで再起動する必要があります。属性を取り

除くときも上記と同様となります。

3.Setoptionコマンドflags(I)およびflags-(I)

これらは、クラスのリソース（オブジェクト）について、大文字/小文字を区別する

か否かを指定するフラグです。このフラグを変更した場合、それを有効化するため

にはCA ControlMinderの再起動が必要となります。

なお、大文字/小文字を区別しないという設定に変更する場合は、既存のルールにつ

いてあらかじめリソースの重複がないことを確認する必要があります。重複が存在

する場合は一方のルールを削除してください。

重複したオブジェクトが存在するとCA ControlMinderを起動することができなくなります。