2.3.8 HiRDBファイルシステム領域を作成する準備
- 〈この項の構成〉
(1) 通常ファイル上にHiRDBファイルシステム領域を作成する場合
通常ファイル上にHiRDBファイルシステム領域を作成する場合の手順を次の図に示します。
- 注※
-
詳細は,「アクセス権限の設定」を参照してください。
(a) 事前準備
実行者 スーパユーザ
次の作業を行います。
-
ハードディスクを初期化します。
-
初期化したハードディスクにパーティションを設定します。
-
設定したパーティションをUNIXのファイルシステムとして初期化します。
これらの作業方法については,OSのマニュアルを参照してください。
(b) HiRDBファイルシステム領域の作成
実行者 HiRDB管理者
pdfmkfsコマンドを実行して,UNIXファイルシステム領域上にHiRDBファイルシステム領域を作成します。初期値のファイルモードは8進数表記で660です。
(c) アクセス権限の設定
実行者 HiRDB管理者
権限を持たないユーザからの不当なアクセスを防止するには,作成したHiRDBファイルシステム領域のファイルモードを変更します。
ファイルモードの変更は,umaskコマンド,又はchmodコマンドで行います。umaskコマンドはHiRDBファイルシステム領域を作成する前に,chmodコマンドはHiRDBファイルシステム領域を作成した後に実行します。
これらのコマンドについては,OSのマニュアルを参照してください。
なお,アクセス制限の設定値については,「HiRDBファイルシステム領域のアクセス権の考え方」を参照してください。
(2) キャラクタ型スペシャルファイル又はブロック型スペシャルファイル上にHiRDBファイルシステム領域を作成する場合
キャラクタ型スペシャルファイル又はブロック型スペシャルファイル上にHiRDBファイルシステム領域を作成する場合の手順を次の図に示します。
- 注※
-
詳細は,「アクセス権限の設定」を参照してください。
(a) 事前準備
実行者 スーパユーザ
次の作業を行います。
-
ハードディスクを初期化します。
-
初期化したハードディスクにパーティションを設定します。
これらの作業方法については,OSのマニュアルを参照してください。
(b) キャラクタ型スペシャルファイル又はブロック型スペシャルファイルの作成
実行者 スーパユーザ
キャラクタ型スペシャルファイル又はブロック型スペシャルファイルの作成,及びモードの設定をします。
- <ファイルの作成>
-
- ●キャラクタ型スペシャルファイルの場合
-
mknodコマンドを実行して,ディスクパーティションに対応するキャラクタ型スペシャルファイルを作成します。
Linuxの場合は,mknodコマンド以外の方法で作成します。
OSごとのキャラクタ型スペシャルファイルの作成方法を次の表に示します。なお,各コマンド及び機能の詳細については,OSのマニュアルを参照してください。
表2‒10 キャラクタ型スペシャルファイルの作成方法 OS
ディスクパーティション
作成方法
備考
Linux
LV
rawコマンドを実行します。ディスクパーティションを有効化するために,LVの認識後にrawコマンドを実行してください。
ディスクパーティションを有効化するために,OS再起動時には再度rawコマンドを実行してください。OS起動時に自動的にrawコマンドを実行する場合は,/etc/rc.localにrawコマンドを記述してください。
LV以外
udev機能を利用します。
キャラクタ型スペシャルファイルを定義したudev機能用のルールファイルを作成し,適切な場所に配置してください。
上記以外
全種別
mknodコマンドを実行します。
なし。
- ●ブロック型スペシャルファイルの場合
-
OSのコマンド(fdisk,parted,又はmknod)を使用して,ディスクパーティションをブロック型スペシャルファイルとして使用します。
各コマンド及び機能の詳細については,OSのマニュアルを参照してください。
- <モードの設定>
-
作成したキャラクタ型スペシャルファイル又はブロック型スペシャルファイルのモードを次のように設定します。
所有者,アクセス権
設定する情報
所有者
ユーザID
HiRDB管理者
グループID
HiRDB管理者のグループID
アクセス権
所有者
rw(読み書きができます)
グループ
rw(読み書きができます)
その他
--(アクセスできません)
(c) アクセス権限の設定
実行者 スーパユーザ
権限を持たないユーザからの不当なアクセスを防止するには,作成したキャラクタ型スペシャルファイル又はブロック型スペシャルファイルのファイルモードを変更します。
ファイルモードの変更は,umaskコマンド,又はchmodコマンドで行います。umaskコマンドはキャラクタ型スペシャルファイル又はブロック型スペシャルファイルを作成する前に,chmodコマンドは作成した後に実行します。
これらのコマンドについては,OSのマニュアルを参照してください。
また,Linux 6以降の場合,通常の設定ではブロック型スペシャルファイルのアクセス権をHiRDB管理者に固定することができないため,別途udevの設定が必要になります。udevの設定については,OSのマニュアルを参照してください。
なお,アクセス制限の設定値については,「HiRDBファイルシステム領域のアクセス権の考え方」を参照してください。
(d) HiRDBファイルシステム領域の作成
実行者 HiRDB管理者
pdfmkfsコマンドを実行して,キャラクタ型スペシャルファイル又はブロック型スペシャルファイル上にHiRDBファイルシステム領域を作成します。
(3) HiRDBファイルシステム領域のアクセス権の考え方
HiRDBファイルシステム領域のアクセス権を設定するときの考え方について説明します。
(a) 設定値の考え方
HiRDBは,機密保護を強化するため,HiRDB管理者と同じOS上のグループIDを持つユーザ群を設けることで,グループ以外のユーザからのアクセスを制限することを推奨しています。このことから,HiRDBファイルシステム領域のアクセス権についても,領域の所有者とグループに対してだけ読み書きのアクセス権を与えることを推奨します。
例えば,マルチHiRDB構成の場合,それぞれのHiRDBグループを設定することで,HiRDBごとのアクセスを切り分けることができます。これによって,誤って別のHiRDBへアクセスしてしまうことを防ぐことができます。
なお,HiRDBグループについては,「HiRDBグループの設定」を参照してください。
(b) アクセス権の変更
HiRDBファイルシステム領域のファイルモードを変更する場合の注意事項を,アクセス権の設定値ごとに示します。
アクセス権の設定値(8進数表記) |
説明及び注意事項 |
---|---|
660 |
推奨値です。 |
640 |
HiRDB管理者と同じグループIDを持つユーザの更新権限をなくします。HiRDB管理者以外の実行を許可している運用コマンド又はユティリティなどがHiRDB管理者以外のユーザ権限で実行できない場合があります。 |
600 |
HiRDB管理者だけがアクセス権を持ちます。HiRDB管理者以外の実行を許可している運用コマンド又はユティリティなどがHiRDB管理者以外のユーザ権限で実行できない場合があります。 |
上記以外 |
変更しないでください。 |
(c) umaskの設定値
HiRDBファイルシステム領域,及びキャラクタ型スペシャルファイル又はブロック型スペシャルファイルのファイルモードを変更する場合は,(b)の説明を参照してumaskの設定を行ってください。
なお,pdfmkfsコマンドで作成したHiRDBファイルシステム領域のファイルモードの初期値は,所有者及びグループに読み書きの権限を与えています(8進数表記で660)。OSのmknodコマンドで作成したキャラクタ型スペシャルファイル又はブロック型スペシャルファイルのファイルモードの初期値については,OSのマニュアルを参照してください。
(d) HiRDBファイルのアクセス権
HiRDBファイルシステム領域は,上記で説明したOS上のアクセス権が有効になりますが,HiRDBファイルに対してはOS上のアクセス権は無効です。また,HiRDBでは,HiRDBファイルのアクセス権の制御は行っていません。したがって,HiRDBファイルごとにアクセスを制限したい場合は,HiRDBファイルシステム領域を切り分けて,HiRDBファイルシステム領域ごとにアクセス権を変更してください。
(4) OS又はデバイスドライバの機能で,物理ボリューム及び論理ボリュームの入出力エラーを検知するまでの時間設定
実行者 スーパユーザ
入出力処理が無応答状態になると,そのほかのUAP,ユティリティ,又は運用コマンドもその影響を受けて停滞します。
OS又はデバイスドライバの機能※で物理ボリューム又は論理ボリュームの入出力エラーを検知するまでの時間を設定できる場合は,入出力処理が無応答にならないよう,設定を行ってください。
- 注※
-
詳細については,OS又はデバイスドライバのマニュアルを参照してください。
入出力処理が無応答となった場合,UAPやティリティの強制終了も停滞する可能性があるため,設定値は,オペランド又はオプションで指定できるUAP又はユティリティの監視時間より小さくしてください。
オペランド又はオプションで指定できるUAP又はユティリティの監視時間については,マニュアル「HiRDB システム運用ガイド」の「UAP又はユティリティの実行時間の監視(無応答障害時の影響を抑える方法)」を参照してください。