概要 |
||||
|
wrapper.secure_file.check.unix.allowed_group.<n> プロパティ |
||||||||||||
これらのプロパティは、Unix システム上のセキュアファイルの権限を確認するときに、 許可されるグループのリストを指定するために使用できます。 Unix システムでは、グループ所有権は1つのグループにのみ設定できますが、 これらのプロパティは、すべてのセキュアファイルで許可されるグループのリストを形成します。 別々のセキュリティファイルに対して複数のグループを許可する必要がある場合は、必要な数の [wrapper.secure_file.check.unix.allowed_group.<n>]プロパティを追加してグループをリスト化できます。 その際、各グループごとに「<n>」インデックスを増分することを忘れないでください。 次のグループは範囲が広すぎるため許可されないことに注意してください。
パスワードを含むファイルが次の所有権と権限で作成されたと仮定します。
最初に行うべきアクションは、「other」クラスに対する権限を削除することです。例えば、「chmod o-r . ほとんどの場合、グループの権限も削除する必要がありますが、複数のユーザーが同じグループに属していて、Wrapper の実行を 許可されているといった状況も考えられます。「team」グループの権限を維持する必要がある場合は、以下の設定を使用して、 許可されたグループのリストに追加できます。
Wrapper 再起動後、メッセージが表示されなくなり、アプリケーションは正常に起動します。 |
wrapper.secure_file.check.windows.allow_unsecured_volumes プロパティ |
||||||||||
このプロパティにより、機密データを含むファイルを、ファイル権限をサポートしていない形式のボリュームに保存することが可能です。 Windows では、FAT32 や exFAT などのファイルシステムはファイル権限をサポートしていません。 つまり、ボリュームにアクセスできる人なら誰でも、そのボリューム上のファイルにアクセスできることになります。 ボリューム自体へのアクセスが安全であることがわかっている場合(たとえば、許可されたユーザーのみがマウントしている場合など)を除き、 機密データを含むファイルは、アクセス権限をサポートするファイルシステム(「NTFS」など)が使用されているボリュームに保存し、 これらのアクセス権限を必要最小限に制限することを推奨します。 デフォルトでは、セキュリティ保護されていないボリュームに機密ファイルを保存することは許可されていません(デフォルト値は「FALSE」です)。 保護されていないボリューム上に機密ファイルが見つかった場合、Wrapper は次のメッセージを出力して停止します。
[wrapper.secure_file.check.windows.allow_unsecured_volumes]が「TRUE」に設定されている場合、 Wrapper はこのメッセージを表示しなくなり、起動できるようになります。
|
wrapper.secure_file.check.unix.allow_unsecured_volumes プロパティ |
||||||||||
このプロパティにより、機密データを含むファイルを、ファイル権限をサポートしていない形式のボリュームに保存することが可能です。 Unix システムでは、FAT32 や NTFS などのファイルシステムはファイル権限をサポートしていません。 つまり、ボリュームにアクセスできる人なら誰でも、そのボリューム上のファイルにアクセスできることになります。 たとえば、Windows サーバーでホストされ、Linux システムと共有されているボリュームがこれに該当します。 ボリューム自体へのアクセスが安全であることがわかっている場合(たとえば、許可されたユーザーのみがマウントしている場合など)を除き、 機密データを含むファイルは、アクセス権限をサポートするファイルシステム(「ext4」など)が使用されているボリュームに保存し、 これらのアクセス権限を必要最小限に制限することを推奨します。 デフォルトでは、セキュリティ保護されていないボリュームに機密ファイルを保存することは許可されていません(デフォルト値は「FALSE」です)。 保護されていないボリューム上に機密ファイルが見つかった場合、Wrapper は次のメッセージを出力して停止します。
[wrapper.secure_file.check.unix.allow_unsecured_volumes]が「TRUE」に設定されている場合、 Wrapper はこのメッセージを表示しなくなり、起動できるようになります。
|
wrapper.secure_file.check.disable プロパティ |
wrapper.secure_file.check.loglevel プロパティ |
||||||||
このプロパティを使用すると、セキュアファイルのアクセス権限に関する問題が検出された場合に出力されるメッセージのログレベルを設定できます。 [wrapper.secure_file.check.srict]が「TRUE」の場合、 デフォルト値は「FATAL」で、それ以外の場合は「WARN」です。
|
wrapper.secure_file.check.srict プロパティ |
||||||||
このプロパティを使用すると、セキュアファイルのアクセス権限に関する問題が検出された場合に Wrapper を停止するか続行するかを定義できます。 権限の問題をできるだけ早く検出して解決するために、このプロパティを「TRUE」に設定しておくことをお勧めします。 Wrapper がユーザーの介入なしに自動的に起動するように設定されている場合(たとえば、サービスとして起動する場合など)、 このプロパティを「FALSE」に設定すると便利な場合があります。 Wrapper は、デフォルトのログレベル「WARN」で権限の問題を報告し、実行を継続します。 後でログを確認するユーザーは、警告が報告された場合は、できるだけ早くファイルの権限を修正することをお勧めします。 デフォルト値は「TRUE」です。
|
wrapper.secure_file.additional.<n> プロパティ群 |
||||||||
スタンダード版とプロフェッショナル版では、Wrapper によって自動的に機密ファイルとして検出されたファイルと同じルールを 用いてチェックすべき追加ファイルをリストする機能を提供しています。これは、例えば、Wrapper ではなく Java アプリケーションによって 読み込まれる機密ファイルの場合に役立ちます。 「<n>」コンポーネント部:
各要素は、「wrapper.
|
wrapper.secure_file.additional.<n>.required プロパティ群 |
||||||||
ファイルが存在する必要があるか(TRUE)、任意であるか(FALSE)を指定します。 デフォルト値は「TRUE」です。 注意存在しているものの、現在のユーザーがアクセスできないファイルの場合、エラーメッセージは表示されません。
|
参照: セキュリティ |
暗号設定:
セキュアファイル:
コマンド:
|