Solaris Trusted Extensions パッケージのラベルファイル

Trusted Extensions では、/etc/security/tsol ディレクトリにサンプルファイルがインストールされます。サンプルをサイトの要件に合わせて変更できます。

label_encodings.simple ファイル

Solaris Trusted Extensions ソフトウェアによってインストールされます。

label_encodings.example ファイル

付録 A 「ラベルエンコーディングファイルのサンプル」の例とほぼ同じです。

付録の初めにファイルのラベル構成要素が説明されています。第 6 章「例: 組織のラベルの計画」に、ファイルの作成手順が説明されています。

label_encodings.gfi.single ファイル

米国政府の単一レベルファイルです。

label_encodings.single ファイル

米国政府の単一レベルファイルの Sun バージョンです。色の割り当てが異なります。

label_encodings.gfi.multi ファイル

米国政府のマルチレベルファイルです。

label_encodings.multi ファイル

米国政府のマルチレベルファイルの Sun バージョンです。組み合わせの制限が少なく、minimum clearance (最下位の認可上限) が高く、デフォルトユーザーラベルが低く、色が異なります。

あるいは、label_encodings ファイルを最初から作成することもできます。label_encodings ファイルの構文および構造は、「エンコーディングファイルの構文」に示されています。

デフォルトのラベルエンコーディングファイル

デフォルトでは、label_encodings.simple ファイルは /etc/security/tsol/label_encodings としてインストールされます。

ACCREDITATION RANGE:  classification= public;
only valid compartment combinations:  public
minimum clearance= needtoknow;
minimum sensitivity label= public;
minimum protect as classification= public;

ACCREDITATION RANGE 定義は、ユーザーを次のラベルに制限します。

• only classification (唯一の格付け) として、PUBLIC が定義されています。

• only valid compartment combination (唯一の有効なコンパートメント組み合わせ) として、PUBLIC が定義されています。

• minimum clearance (最下位の認可上限) として、NEEDTOKNOW が定義されています。

• minimum sensitivity label (最下位の機密ラベル) として、PUBLIC が定義されています。

• minimum protect as classification (最下位の機密保護の格付け) として、PUBLIC が定義されています。

格付けセクションを次の図に示します。

図 2–2 デフォルト label_encodings ファイルの格付け

ファイルのコンパートメントを次の図に示します。

図 2–3 デフォルト label_encodings ファイルのコンパートメント

GFI ラベルエンコーディングファイルの違い

政府提供ファイルには、label_encodings.single と label_encodings.multi の 2 つがあります。label_encodings.single ファイルは単一レベルであり、label_encodings.multi ファイルは単一レベルファイルのマルチレベルバージョンです。ACCREDITATION RANGE セクションの設定も異なります。ACCREDITATION RANGE セクションは、どの格付けおよびどのコンパートメントが一般ユーザーで使用可能かを定義します。

GFI マルチレベルのラベルエンコーディングファイル

label_encodings.multi ファイルの ACCREDITATION RANGE 設定を次の抜粋に示します。

ACCREDITATION RANGE: 
classification= u;   all compartment combinations valid;
classification= c;   all compartment combinations valid;
classification= s;   all compartment combinations valid;
classification= ts;   all compartment combinations valid;

minimum clearance= c;
minimum sensitivity label= u;
minimum protect as classification= u;

ACCREDITATION RANGE で次のように定義されているため、label_encodings.multi ファイルに定義されているすべての格付けおよびコンパートメントの語句をサイトで使用できます。

• all compartment combinations valid (すべてのコンパートメント組み合わせが有効) として、UNCLASSIFIED、CLASSIFIED、SECRET、および TOP SECRET が定義されています。

• minimum clearance (最下位の認可上限) として、CLASSIFIED が定義されています。

• minimum sensitivity label (最下位の機密ラベル) として、UNCLASSIFIED が定義されています。

• minimum protect as classification (最下位の機密保護の格付け) として、UNCLASSIFIED が定義されています。

GFI 単一レベルのラベルエンコーディングファイル

label_encodings.single ファイルの ACCREDITATION RANGE 設定を次の抜粋に示します。

ACCREDITATION RANGE:  classification= s;
only valid compartment combinations:  s a b rel cntry1
minimum clearance= s Able Baker NATIONALITY: CNTRY1;
minimum sensitivity label= s A B REL CNTRY1;
minimum protect as classification= s;

ACCREDITATION RANGE 定義は、ユーザーを次のラベルに制限します。

• only classification (唯一の格付け) として、SECRET が定義されています。

• only valid compartment combination (唯一の有効なコンパートメント組み合わせ) として、SECRET A B REL CNTRY1 が定義されています。

• minimum clearance (最下位の認可上限) として、SECRET ABLE BAKER NATIONALITY: CNTRY1 が定義されています。

• minimum sensitivity label (最下位の機密ラベル) として、SECRET A B REL CNTRY1 が定義されています。

• minimum protect as classification (最下位の機密保護の格付け) として、SECRET が定義されています。