3.14.3 注意事項
-
定義ファイルのフォーマットチェックは実施されません。
-
定義ファイルがない場合,ディレクトリ制限機能は無効になります。
-
定義ファイルに有効な定義が記述されていない場合,ディレクトリ制限機能は無効になります。
-
定義ファイルに記述されていないユーザに対するディレクトリ制限機能は無効になります。
-
[all]が指定された場合,全ユーザが対象になります。
-
[enable_list]の定義より[disable_list]の定義が優先されます。そのため,[enable_list]と[disable_list]の両方に記述されているユーザのディレクトリ制限機能は無効になります。
-
ディレクトリ制限機能を使用した場合,ユーザのホームディレクトリはルートディレクトリに変更されます。そのため,クライアント側で指定するファイル名やディレクトリ名,サーバ側で使用する自動起動プログラムを絶対パスで指定する場合は,ユーザのホームディレクトリを示す部分を削除してください。
-
ディレクトリ制限機能を有効にしたユーザで自動起動プログラムを起動する場合,起動するプログラムやシェルがディレクトリ制限環境で起動できるかどうかを,あらかじめ確認してください。chrootコマンドを使用して確認できます。chrootコマンドについてはOSのマニュアルを参照してください。
- (例)
-
ディレクトリ制限機能を有効にしたユーザがuser1で,user1のホームディレクトリ直下のsample.shを実行確認する場合(操作はスーパーユーザで行います)
# chroot ~user1 /sample.sh
-
ディレクトリ制限機能を使用した場合,ユーザはホームディレクトリ配下のプログラムしか実行できなくなります。自動実行プログラムを使用している場合は,プログラムやそのプログラムで使用している共有ライブラリを,ユーザのホームディレクトリの下へ適切に配置してください。
-
プログラムの配置先は,ユーザのホームディレクトリに環境変数PATHで定義されているパス名を加えたディレクトリになります。共有ライブラリの配置先は,ユーザのホームディレクトリのパスにライブラリ検索パスを加えたパスになります。
-
ディレクトリ制限機能を有効にしたユーザは,そのログイン・ログアウト情報が,OSのwtmpファイルに記録されません。
-
AIXの場合,ディレクトリ制限機能を有効にしたユーザのホームディレクトリ以下に/dev/nullデバイスを作成してください。コピーしたdev/nullは元の/dev/nullデバイスとファイルのタイプ,メジャー番号,マイナー番号,およびアクセス権限を同じにしてください。
- (例)
-
ディレクトリ制限機能を有効にしたユーザがuser1の場合(操作はスーパーユーザで行います)
# ls -l /dev/null
crw-rw-rw- 1 root system 2, 2 Nov 20 13:10 /dev/null
# mkdir ~user1/dev
# mknod ~user1/dev/null c 2 2
# chmod 0666 ~user1/dev/null
# chown -R root:system ~user1/dev
-
AIXの場合,環境定義でJP1/IMイベントの発行をチェックするときは,ディレクトリ制限機能を有効にしたユーザのホームディレクトリ以下に,次のファイルをそのままのパスでコピーしてください。コピーしたファイルのアクセス権限,リンクの状態などは,コピー元と同じにします。
-
/opt/jp1_fts/lib/nls以下すべて。
- (例)
-
ディレクトリ制限機能を有効にしたユーザがuser1の場合(操作はスーパーユーザで行います)
# cd /
# tar cvf /tmp/work.tar opt/jp1_fts/lib/nls
# cd ~user1
# tar xvf /tmp/work.tar
-
-
Linuxの場合,ディレクトリ制限機能を有効にしたユーザのホームディレクトリ以下に/etc/localtimeファイルのコピーを作成してください。コピーしたetc/localtimeファイルは元の/etc/localtimeファイルとアクセス権限を同じにしてください。/etc/localtimeファイルがシンボリックリンクの場合は,実体のファイルも同様にコピーしてください。
- (例)
-
ディレクトリ制限機能を有効にしたユーザがuser1の場合(操作はスーパーユーザで行います)
# cd /
# tar cvf /tmp/work.tar etc/localtime
# cd ~user1
# tar xvf /tmp/work.tar
-
Linuxの場合,環境変数JP1FTS_PRIVILEGE_ADDITIONにONを設定しており,ディレクトリ制限機能を有効にしたユーザで自動起動プログラムを起動する場合,ディレクトリ制限機能を有効にしたユーザのホームディレクトリ以下に/dev/nullデバイスと/dev/fullデバイスを作成してください。コピーしたdev/nullは元の/dev/nullデバイスとファイルのタイプ,メジャー番号,マイナー番号,およびアクセス権限を同じにしてください。また,コピーしたdev/fullは元の/dev/fullデバイスとファイルのタイプ,メジャー番号,マイナー番号,およびアクセス権限を同じにしてください。
- (例)
-
ディレクトリ制限機能を有効にしたユーザがuser1の場合(操作はスーパーユーザで行います)
# ls -l /dev/null
crw-rw-rw- 1 root root 1, 3 3月 13 01:06 2013 /dev/null
# mkdir ~user1/dev
# mknod ~user1/dev/null c 1 3
# chmod 0666 ~user1/dev/null
# ls -l /dev/full
crw-rw-rw- 1 root root 1, 7 3月 13 01:06 2013 /dev/full
# mknod ~user1/dev/full c 1 7
# chmod 0666 ~user1/dev/full
# chown -R root:root ~user1/dev