Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.2.6. ハードリンクおよびシンボリックリンクの保護
悪意のあるユーザーが保護されていないハードリンクやシンボリックリンクによって引き起こされる潜在的な脆弱性を悪用するのを防ぐため、Red Hat Enterprise Linux 7 には、特定の条件を満たす場合にのみリンクの作成または追跡を許可する機能が搭載されています。
ハードリンクの場合、次のいずれかが当てはまる必要があります。
- ユーザーは、リンク先のファイルを所有しています。
- ユーザーは、リンク先のファイルに対して、すでに読み取りと書き込みのアクセス権を持っています。
シンボリックリンクの場合、プロセスは、スティッキービットを持つ誰でも書き込み可能なディレクトリーの外部にある場合にのみリンクをたどることが許可されます。または、以下のいずれかが当てはまる必要があります。
- シンボリックリンクに続くプロセスが、シンボリックリンクの所有者となります。
- ディレクトリーの所有者は、シンボリックリンクの所有者と同じになります。
この保護機能は、デフォルトでオンになっています。これは、
/usr/lib/sysctl.d/50-default.conf
ファイルにある以下のオプションで制御されます。
fs.protected_hardlinks = 1 fs.protected_symlinks = 1
デフォルトの設定を上書きして保護を無効にするには
/etc/sysctl.d/
ディレクトリーに、以下の内容で、たとえば 51-no-protect-links.conf
という新しい設定ファイルを作成します。
fs.protected_hardlinks = 0 fs.protected_symlinks = 0
注記
デフォルトのシステム設定を上書きするには、新しい設定ファイルの拡張子が
.conf
で、デフォルトのシステムファイルの 後に 読み込む必要があることに注意してください (ファイルは辞書的順序で読み込まれるため、ファイル名の先頭に大きな番号があるファイルに含まれている設定が優先されます)。
sysctl
メカニズムを利用した起動時のカーネルパラメーターの設定についての詳細は、sysctl.d(5) の man ページを参照してください。