test

Solaris Trusted Extensions ラベルの管理

エンコーディングファイルのソース

label_encodings ファイルはフラットなテキストファイルです。Trusted Extensions を設定しているシステムでは、このファイルのラベルが ADMIN_HIGH であるため、一般ユーザーが読み取ることはできません。label_encodings ファイルの 1 行の最大長は、256 バイトです。このファイルは任意のテキストエディタで編集できます。セキュリティー管理者は、label_encodings ファイルの作成および配布を担当します。

注 –

label_encodings ファイルは、どんなシステムでも作成および編集できます。ただし、Trusted Extensions を設定しているホストでファイルを検査およびテストします。

組織によっては、国防情報局 (DIA) の仕様に基づいた政府提供の label_encodings ファイルを使用しています。また、Trusted Extensions パッケージで提供されているエンコーディングファイルのいずれかを基にする組織もあります。

Solaris Trusted Extensions パッケージのラベルファイル

Trusted Extensions では、/etc/security/tsol ディレクトリにサンプルファイルがインストールされます。サンプルをサイトの要件に合わせて変更できます。

label_encodings.simple ファイル

Solaris Trusted Extensions ソフトウェアによってインストールされます。

label_encodings.example ファイル

付録 A 「ラベルエンコーディングファイルのサンプル」の例とほぼ同じです。

付録の初めにファイルのラベル構成要素が説明されています。第 6 章「例: 組織のラベルの計画」に、ファイルの作成手順が説明されています。

label_encodings.gfi.single ファイル

米国政府の単一レベルファイルです。

label_encodings.single ファイル

米国政府の単一レベルファイルの Sun バージョンです。色の割り当てが異なります。

label_encodings.gfi.multi ファイル

米国政府のマルチレベルファイルです。

label_encodings.multi ファイル

米国政府のマルチレベルファイルの Sun バージョンです。組み合わせの制限が少なく、minimum clearance (最下位の認可上限) が高く、デフォルトユーザーラベルが低く、色が異なります。

あるいは、label_encodings ファイルを最初から作成することもできます。label_encodings ファイルの構文および構造は、「エンコーディングファイルの構文」に示されています。

デフォルトのラベルエンコーディングファイル

デフォルトでは、label_encodings.simple ファイルは /etc/security/tsol/label_encodings としてインストールされます。


ACCREDITATION RANGE:  classification= public;
only valid compartment combinations:  public
minimum clearance= needtoknow;
minimum sensitivity label= public;
minimum protect as classification= public;

ACCREDITATION RANGE 定義は、ユーザーを次のラベルに制限します。

格付けセクションを次の図に示します。

図 2–2 デフォルト label_encodings ファイルの格付け

図は、ファイルの CLASSIFICATIONS セクションを示しています。

ファイルのコンパートメントを次の図に示します。

図 2–3 デフォルト label_encodings ファイルのコンパートメント

図は、ファイルの SENSITIVITY LABELS: WORDS: セクションを示しています。

GFI ラベルエンコーディングファイルの違い

政府提供ファイルには、label_encodings.singlelabel_encodings.multi の 2 つがあります。label_encodings.single ファイルは単一レベルであり、label_encodings.multi ファイルは単一レベルファイルのマルチレベルバージョンです。ACCREDITATION RANGE セクションの設定も異なります。ACCREDITATION RANGE セクションは、どの格付けおよびどのコンパートメントが一般ユーザーで使用可能かを定義します。

GFI マルチレベルのラベルエンコーディングファイル

label_encodings.multi ファイルの ACCREDITATION RANGE 設定を次の抜粋に示します。


ACCREDITATION RANGE: 
classification= u;   all compartment combinations valid;
classification= c;   all compartment combinations valid;
classification= s;   all compartment combinations valid;
classification= ts;   all compartment combinations valid;

minimum clearance= c;
minimum sensitivity label= u;
minimum protect as classification= u;

ACCREDITATION RANGE で次のように定義されているため、label_encodings.multi ファイルに定義されているすべての格付けおよびコンパートメントの語句をサイトで使用できます。

GFI 単一レベルのラベルエンコーディングファイル

label_encodings.single ファイルの ACCREDITATION RANGE 設定を次の抜粋に示します。


ACCREDITATION RANGE:  classification= s;
only valid compartment combinations:  s a b rel cntry1
minimum clearance= s Able Baker NATIONALITY: CNTRY1;
minimum sensitivity label= s A B REL CNTRY1;
minimum protect as classification= s;

ACCREDITATION RANGE 定義は、ユーザーを次のラベルに制限します。

label_encodings ファイルの Sun の拡張機能

label_encodings ファイルの Sun の実装は、LOCAL DEFINITIONS セクションをサポートします。このセクションは省略可能です。このセクションを既存の label_encodings ファイルに追加できます。セクション冒頭のキーワード内の LOCAL という語は「Sun の実装に対してローカル」であることを意味します。

LOCAL DEFINITIONS セクションのオプションは、ラベル変換オプションを設定し、色をラベルに関連付けます。アプリケーションウィンドウのタイトルバーには、関連付けられている色を背景にしてラベルが表示されます。COLOR NAMES オプションに無効な色が指定されていたり、色が指定されていない場合は、デフォルトの色が表示されます。第 5 章「LOCAL DEFINITIONS のカスタマイズ」に、サイトに合わせて Sun の拡張機能を変更する方法が説明されています。