Oracle Solaris Trusted Extensions 構成ガイド

用語集

CDE

共通デスクトップ環境を参照。

CIPSO ラベル

共通 IP セキュリティーオプション (Common IP Security Option)。CIPSO は、Trusted Extensions が実装するラベル標準です。

.copy_files ファイル

マルチラベルシステムに関する任意の設定ファイル。このファイルには、システムまたはアプリケーションが正常に動作するためにユーザー環境またはユーザーアプリケーションで必要とされる .cshrc.mozilla などの起動ファイルのリストが含まれます。ユーザーのホームディレクトリが高いラベルで作成されると、.copy_files に含まれるファイルがそのディレクトリにコピーされます。.link_files ファイルも参照。

DAC

任意アクセス制御を参照。

GFI

政府提供情報 (Government Furnished Information の略)。このマニュアルでは、米国政府提供の label_encodings ファイルを指します。Trusted Extensions ソフトウェアで GFI を使用するには、Sun 固有の LOCAL DEFINITIONS セクションを GFI の末尾に追加します。詳細は、『Solaris Trusted Extensions ラベルの管理』の第 5 章「LOCAL DEFINITIONS のカスタマイズ」を参照してください。

IP アドレス

インターネットプロトコル (Internet Protocol、IP) アドレス。インターネットプロトコルによって通信が可能になるための、ネットワークに接続されたシステムを識別する一意の数字。IPv4 のアドレスは、ピリオドで区切られた 4 つの数字です。通常、IP アドレスの各部は 0 から 225 です。ただし、最初の数字は 224 未満とし、最後の数字は 0 以外にしてください。

IP アドレスは、論理的に、ネットワークの部分と ネットワーク上のsystemの部分に分けられます。ネットワーク番号は電話番号の市外局番、システム番号はそれ以外の電話番号に相当します。

label

オブジェクトに割り当てられるセキュリティー識別子。ラベルは、オブジェクトの情報を保護するレベルを基準にします。セキュリティー管理者がどのようにユーザーを設定したかによって、ユーザーは機密ラベルを参照できたりできなかったりします。ラベルはlabel_encodings ファイルで定義されます。

label_encodings ファイル

認可範囲、ラベルビュー、デフォルトのラベル表示/非表示、デフォルトのユーザー認可上限、およびその他のラベルに関する事項を含む完全な機密ラベルを定義するファイル。

.link_files ファイル

マルチラベルシステムに関する任意の設定ファイル。このファイルには、システムまたはアプリケーションが正常に動作するためにユーザー環境またはユーザーアプリケーションで必要とされる .cshrc.mozilla などの起動ファイルのリストが含まれます。ユーザーのホームディレクトリが高いラベルで作成されると、.link_files に含まれるファイルがそのディレクトリにリンクされます。.copy_files ファイルも参照。

MAC

必須アクセス制御を参照。

process

コマンドを呼び出したユーザーに代わってコマンドを実行するアクション。プロセスは、ユーザー ID (UID)、グループ ID (GID)、補助グループリスト、ユーザーの監査 ID (AUID) などの多数のセキュリティー属性をユーザーから受け取ります。プロセスが受け取るセキュリティー属性には、実行されるコマンドが使用可能な特権、および現在のワークスペースの機密ラベルも含まれます。

Solaris 管理コンソール

管理プログラムのツールボックスを含む Java ベースの管理 GUI。このコンソールのツールボックスを使用することによって、システム、ネットワーク、およびユーザーのほとんどの管理を行えます。

system

コンピュータの総称。インストール後、ネットワーク上のシステムはホストとも呼ばれます。

tnrhdb データベース

トラステッドネットワークの遠隔ホストデータベース。このデータベースは、ラベル特性のセットを遠隔ホストに割り当てます。アクセスは、/etc/security/tsol/tnrhdb のファイルとして、または LDAP サーバーから可能です。

tnrhtp データベース

トラステッドネットワークの遠隔ホストテンプレート。このデータベースは、遠隔ホストに割り当てることができるラベル特性のセットを定義します。アクセスは、/etc/security/tsol/tnrhtp のファイルとして、または LDAP サーバーから可能です。

txzonemgr スクリプト

/usr/sbin/txzonemgr スクリプトは、ラベル付きゾーンを管理するための簡単な GUI を提供します。また、このスクリプトはネットワークオプションやネームサービスオプションのメニュー項目、および大域ゾーンを既存の LDAP サーバーのクライアントにするためのメニュー項目も提供します。txzonemgr は、root ユーザーによって大域ゾーンで実行されます。

アクセス権ビット

ファイルやディレクトリをだれが読み取り、書き込み、または実行できるかを表すために、所有者が一連のビットを指定する任意アクセス制御の一種。各ファイルまたはディレクトリに割り当てられるアクセス権には、 所有者に設定されるセット、所有者のグループに設定されるセット、その他のすべてに設定されるセットの 3 つがあります。

アプリケーション検索パス

CDE で、systemがアプリケーションや特定の構成情報を見つけるために使用する検索パス。アプリケーション検索パスはトラステッド役割によって制御されます。

遠隔ホスト

ローカルシステムとは異なるシステム。遠隔ホストは、ラベルなしホストまたはラベル付きホストになります。

オープンネットワーク

ほかのネットワークと物理的に接続され、Trusted Extensions ソフトウェアを使用して Trusted Extensions 以外のホストと通信する Trusted Extensions ホストのネットワーク。閉じたネットワークと比較。

解釈ドメイン (DOI)

Trusted Extensions が構成された Solaris システム上で、解釈ドメインは、類似のラベルが定義される可能性のある label_encodings ファイル同士を区別するために使用されます。DOI は、ネットワークパケット上のセキュリティー属性をローカルの label_encodings ファイルによる表現に変換するための規則セットです。同一の DOI を持つシステムはその規則セットを共有しており、ラベル付きのネットワークパケットを変換できます。

格付け

認可上限またはlabelの階層構成要素。格付けは、TOP SECRETUNCLASSIFIED など、セキュリティーの階層レベルを示します。

管理役割

役割が管理タスクを実行できるように、必要な承認、特権コマンド、特権アクション、およびトラステッドパスのセキュリティー属性を付与する役割。役割は、バックアップ、監査など、Solaris スーパーユーザーの権限のサブセットを実行します。

機密ラベル

オブジェクトまたはプロセスに割り当てられるセキュリティーlabel。このラベルは、含まれるデータのセキュリティーレベルに従ってアクセスを制限するために使用します。

共通デスクトップ環境

Trusted Extensions ソフトウェアの管理用に以前から使用されているウィンドウ表示環境。Trusted Extensions で環境を変更して Trusted CDE を作成します。Trusted JDS を作成するには、Sun Java Desktop System も変更します。

クライアント

ネットワークに接続されているシステム。

権利プロファイル

コマンドとCDE アクションのバンドルのための、および実行可能ファイルに割り当てられているセキュリティー属性のバンドルのためのメカニズム。権利プロファイルによって、Solaris 管理者は、だれがどのコマンドを実行できるかを制御でき、また、コマンドが実行されるときのコマンドの属性を制御できます。ユーザーはログインすると、ユーザーに割り当てられているすべての権利が有効になり、ユーザーのすべての権利プロファイルで割り当てられているすべてのコマンド、CDE アクション、および承認にアクセスできます。

コンパートメント

labelを構成する階層的ではない要素で、格付けとともに使用して認可上限labelを形成します。コンパートメントは、技術部署や学際的プロジェクトチームなどに使用される、情報の集合を表すために使われます。

最下位ラベル

ユーザーの機密ラベルの下限とシステムの機密ラベルの下限。ユーザーのセキュリティー属性の指定の際にセキュリティー管理者によって設定される最下位ラベルは、ユーザーが最初にログインするときの最初のワークスペースの機密ラベルです。 label_encodings ファイルの最下位ラベルのフィールドでセキュリティー管理者によって指定される機密ラベルがシステムの下限を設定します。

システム管理者

Trusted Extensions において、ユーザーアカウントの設定のうちセキュリティーに関連しない部分など、標準的なシステム管理タスクの実行を担当するユーザーに割り当てられるトラステッド役割セキュリティー管理者と比較。

システム認可範囲

セキュリティー管理者label_encodings ファイルで定義する規則に従って作成されるすべての有効なlabelのセットと、Trusted Extensions が設定されたすべてのシステムで使用される 2 つの管理labelを含ませたもの。その 2 つの管理ラベルは ADMIN_LOWADMIN_HIGH です。

主管理者

組織に対する新しい権利プロファイルの作成を任せられ、セキュリティー管理者システム管理者が一緒になっても困難なマシンの問題の解決を任せられる管理者。この役割が使用されることはほとんどありません。最初のセキュリティー構成のあとで、サイトをより安全にするためには、この役割の作成をやめたり、主管理者プロファイルをいずれの役割にも割り当てないようにします。

承認

セキュリティーポリシーによって許可されないアクションを実行できるように、ユーザーまたは役割に付与する権利。承認は権利プロファイルで付与されます。特定のコマンドが成功するには、ユーザーに特定の承認が必要です。たとえば、PostScript ファイルを印刷するには、Postscript 印刷の承認が必要です。

初期設定チーム

Trusted Extensions ソフトウェアの有効化および構成を監督する、最低 2 人のチーム。セキュリティーに関する決定とシステム管理に関する決定を別々のチームメンバーが担当します。

初期ラベル

ユーザーまたは役割に割り当てられる最下位ラベルであり、ユーザーの初期ワークスペースのラベル。 初期ラベルは、ユーザーまたは役割が作業できる最下位ラベルです。

責務分離

ユーザーの作成および認証に 2 人の管理者または 2 つの役割を必要とするセキュリティーポリシー。一方の管理者または役割には、ユーザー、ユーザーのホームディレクトリ、およびその他の基本的な管理を作成する責任があります。もう一方の管理者または役割には、パスワードおよびラベル範囲など、ユーザーのセキュリティー属性に対して責任があります。

セキュリティー管理者

機密情報を保護しなければならない組織において、サイトのセキュリティーポリシーを定義および実施する人員。この人物は、サイトで処理されているすべての情報へのアクセスが認められています。ソフトウェアで、適切な認可上限を持つ 1 人以上に対してセキュリティー管理者の管理役割が割り当てられます。この管理者は、ソフトウェアによってサイトのセキュリティーポリシーが実施されるように、すべてのユーザーおよびホストのセキュリティー属性を設定します。システム管理者と比較。

セキュリティー属性

Trusted Extensions セキュリティーポリシーを実施するために使用される属性。さまざまなセットのセキュリティー属性が、process、ユーザー、ゾーン、ホスト、割り当て可能なデバイス、およびその他のオブジェクトに割り当てられます。

セキュリティーポリシー

Trusted Extensions ホスト上の、DACMAC、および情報へのアクセス方法を定義するラベル付け規則のセット。また、顧客サイトについて、そのサイトで処理される情報の機密度と、承認されていないアクセスから情報を保護する手段を定義する規則のセット。

セキュリティーラベルセット

tnrhtp データベースエントリに対して個別セットのセキュリティーラベルを指定します。セキュリティーラベルセットとともにテンプレートに割り当てられているホストは、そのラベルセットのいずれかのラベルに一致するパケットを送受信できます。

ツールボックス

Solaris 管理コンソールのプログラムの集まり。Trusted Extensions ホストで、管理者が Policy=TSOL のツールボックスを使用します。各ツールボックスには、ツールボックスのスコープで使用可能なプログラムがあります。たとえば、システムの tnzonecfg データベースを処理するトラステッドネットワークゾーンツールは、スコープが常にローカルであるため、Files ツールボックスにのみあります。ユーザーアカウントプログラムはすべてのツールボックスにあります。ローカルユーザーを作成するには、管理者は Files ツールボックスを使用し、ネットワークユーザーを作成するには、LDAP ツールボックスを使用します。

デバイス

デバイスには、プリンタ、コンピュータ、テープドライブ、フロッピードライブ、CD-ROM ドライブ、DVD ドライブ、オーディオデバイス、および内蔵擬似端末デバイスがあります。デバイスは、「同位読み取り、同位書き込み」の MAC ポリシーに従います。DVD ドライブなどのリムーバブルデバイスへのアクセスはデバイスの割り当てによって制御されます。

デバイスの割り当て

割り当て可能なデバイスの情報を、そのデバイスを割り当てたユーザー以外の者がアクセスできないように保護するメカニズム。デバイスが割り当て解除されるまで、デバイスを割り当てたユーザー以外の者がデバイスに関連付けられている情報にアクセスすることはできません。ユーザーがデバイスを割り当てるには、セキュリティー管理者によってデバイス割り当ての承認がユーザーに付与されている必要があります。

閉じたネットワーク

Trusted Extensions が設定されているシステムのネットワーク。このネットワークは Trusted Extensions 以外のホストから切り離されています。Trusted Extensions ネットワークの外へ配線せずに物理的に切り離すことができます。あるいは、Trusted Extensions ホストが Trusted Extensions ホストのみを認識するようにソフトウェアで切り離すことができます。ネットワークの外側からのデータ入力は、Trusted Extensions ホストに接続された周辺機器に制限されます。オープンネットワークと比較。

特権

コマンドを実行中のプロセスに付与される権限。完全セットの特権は、基本機能から管理機能に至るまでのシステムの完全機能です。システムクロックの設定などのセキュリティーポリシーをバイパスする特権は、サイトのセキュリティー管理者が付与できます。

ドメイン

インターネットのネーミング階層の一部。ローカルネットワーク上のsystemのグループであり、管理ファイルを共有します。

ドメイン名

ローカルネットワーク上のsystemのグループを識別します。ドメイン名は、ピリオドで区切られた一連の構成要素名から構成されます (たとえば、 example1.town.state.country.org)。ドメイン名内で右側にある構成要素名ほど、より大きな管理権限領域 (通常は遠隔) を表します。

トラステッドエディタ

Trusted Extensions が設定された Solaris システムでは、管理ファイルの作成および変更にトラステッドエディタが使用されます。このエディタではファイル名を変更できません。また、エディタの使用は監査され、シェルエスケープコマンドは無効になっています。Trusted CDE では、「管理エディタ」アクションでトラステッドエディタを起動します。Trusted JDS では、/usr/dt/bin/trusted_edit コマンドでトラステッドエディタを起動します。

トラステッドストライプ

なりすましができない領域。トラステッドストライプは、Trusted CDE では画面下部にあり、Trusted JDS では上部にあります。このストライプには、トラステッドパスインジケータと ウィンドウ機密ラベルによって、ウィンドウシステムの状態に関するフィードバックが視覚的に表示されます。機密ラベルがユーザーに表示されないように設定されている場合、トラステッドストライプはアイコンになって、トラステッドパスインジケータのみが表示されます。

トラステッドネットワークデータベース

tnrhtp (トラステッドネットワークの遠隔ホストテンプレート) および tnrhdb (トラステッドネットワークの遠隔ホストデータベース) によって、Trusted Extensions システムが通信できる遠隔ホストが定義されます。

トラステッドパス

Trusted Extensions が構成された Solaris システム上のトラステッドパスは、システムと対話するための、改ざん耐性を備えた信頼できる方法です。トラステッドパスを使えば、管理機能が損なわれることがなくなります。パスワードの変更など、保護する必要のあるユーザー機能でもトラステッドパスが使用されます。トラステッドパスがアクティブになっていると、改ざん耐性インジケータがデスクトップに表示されます。

トラステッド役割

管理役割を参照。

任意アクセス制御

ファイルまたはディレクトリの所有者の判断によって付与または拒否されるアクセスのタイプ。Trusted Extensions には、UNIX アクセス権ビット と ACL の 2 種類の任意アクセス制御 (discretionary access control、DAC) があります。

認可上限

ユーザーが作業可能なラベルのセットの上限。下限はセキュリティー管理者が割り当てる最下位ラベルです。認可上限は、セッション認可上限とユーザー認可上限の 2 種類があります。

認可範囲

ユーザーまたはリソースのクラスに認可された機密ラベルのセット。有効なlabelのセット。システム認可範囲ユーザー認可範囲も参照。

ネームサービス

ネットワーク上の全systemに関する重要なシステム情報が収められている分散型ネットワークデータベース。ネットワーク上のシステムは、これを利用して相互通信を行います。ネームサービスを使用することによって、ネットワーク全域にわたるシステム情報を保守、管理、または取得できます。Sun は LDAP ネームサービスをサポートします。ネームサービスを使用しないと、各systemはローカルの /etc ファイルにシステム情報のコピーを保持しなければなりません。

ネットワークに接続されたシステム

ハードウェアとソフトウェアによって接続され、ローカルエリアネットワーク (LAN) とも呼ばれるシステムのグループ。システムをネットワークに接続するには、通常、1 台以上のサーバーが必要です。

ネットワークに接続されていないシステム

ネットワークに接続されていない、またはほかのホストに依存しないコンピュータ。

必須アクセス制御

ファイル、ディレクトリ、またはデバイス機密ラベルとそれにアクセスしようとするプロセスの機密ラベルとの比較に基づくアクセス制御。あるラベルのプロセスが下位のラベルのファイルを読み取ろうとする場合、MAC 規則の「同位読み取り、下位読み取り」が適用されます。あるラベルのプロセスが別のラベルのディレクトリに書き込もうとする場合、MAC 規則の「同位書き込み、下位読み取り」が適用されます。

評価外の構成

評価された構成の基準を満たすと認められているソフトウェアがセキュリティーの基準を満たさない設定で構成される場合、そのソフトウェアは「評価外の構成」と呼ばれます。

評価された構成

認証局によって特定の基準に適合すると認定された構成で実行されている 1 つ以上の Trusted Extensions ホスト。米国での基準は TCSEC です。評価と認定を行うのは NSA です。

  • Solaris 10 11/06 リリースで設定されている Trusted Extensions ソフトウェアでは、多数の保護プロファイルが、ISO 標準である共通基準 v2.3 (2005 年 8 月) の評価保証レベル (EAL) 4 に認定されます。

  • NSA に認定された Trusted Extensions ソフトウェアは保証継続 (Assurance Continuity) を通して Solaris 10 5/09 リリースに設定されます。

共通基準 v2 (CCv2) と保護プロファイルによって、以前の TCSEC U.S. 標準はレベル B1+ まで廃止されます。CCv2 に関する相互認証協定が米国、英国、カナダ、デンマーク、オランダ、ドイツ、およびフランスで調印されています。

Trusted Extensions 構成ターゲットは、TCSEC C2 レベルと B1 レベルと同様の機能および一部の追加機能を示します。

ファイルシステム

論理的階層に編成および構成した情報のセットをなすファイルおよびディレクトリの集まり。ファイルシステムはローカルsystemまたは遠隔システムからマウントできます。

プロファイルシェル

特権、承認、特殊な UID や GID などのセキュリティー属性を認識する特別なシェル。通常、プロファイルシェルは、ユーザーが使用できるコマンドを制限しますが、より多くの権限がある場合にはそれらのコマンドを実行できるようにすることも可能です。プロファイルシェルは、トラステッド役割のデフォルトのシェルです。

ホスト名

ネットワーク上のその他のsystemによって認識される、システムの名前。この名前は、ドメイン内のすべてのsystemで一意です。通常、ドメインは単一の組織を表します。ホスト名は、文字、数字、マイナス符号 (-) を任意に組み合わせて作成できますが、先頭と末尾にマイナス符号は使用できません。

マルチレベルデスクトップ

Trusted Extensions が構成された Solaris システムでは、ユーザーはある特定のラベルでデスクトップを実行できます。複数ラベルでの作業を承認されたユーザーは、各ラベルで作業するためのワークスペースを、ラベルごとに 1 つずつ作成できます。このマルチレベルデスクトップでは、承認済みユーザーは、異なるラベルのウィンドウ間でカット&ペーストを行なったり、さまざまなラベルでメールを受信したり、異なるラベルのワークスペース内でラベル付きウィンドウを表示して使用したりできます。

マルチレベルポート (MLP)

Trusted Extensions が構成された Solaris システムでは、MLP は、あるゾーン内でマルチレベルサービスを提供するために使用されます。デフォルトでは、X サーバーは大域ゾーン内で定義されたマルチレベルサービスです。MLP はポート番号とプロトコルで指定されます。たとえば、マルチレベルデスクトップ用の X サーバーの MLP は、6000-6003 と TCP によって指定されます。

役割

役割は、ログインできないことを除いて、ユーザーと同じです。通常、管理機能を割り当てるために役割が使用されます。役割は、コマンド、承認、および CDE アクションの特定セットに制限されます。管理役割を参照。

ユーザー認可上限

セキュリティー管理者によって割り当てられる認可上限で、ユーザーが常に作業可能なlabelのセットの上限を設定します。ユーザーは、ログインセッション時にデフォルトを受け入れたり、認可上限をさらに制限したりできます。

ユーザー認可範囲

一般ユーザーがsystemで作業できるすべての可能なラベルのセット。サイトのセキュリティー管理者label_encodings ファイルで範囲を指定します。システム認可範囲を定義する適格な形式のlabelに関する規則は、このファイルの ACCREDITATION RANGE セクションの値 (上限、下限、組み合わせ制約など) によってさらに制限されます。

ラベル間の関係

Trusted Extensions が構成された Solaris システムでは、あるラベルは、別のラベルよりも上位である、別のラベルと等しい、別のラベルから切り離されている、のいずれかになります。たとえば、ラベル Top Secret はラベル Secret よりも上位です。2 つのシステムが同じ解釈ドメイン (DOI) を持つ場合、一方のラベル Top Secret は他方のラベル Top Secret と等しくなります。

ラベル構成

単一ラベルまたはマルチラベルの機密ラベルに関する Trusted Extensions インストール時の選択。ほとんどの環境では、サイトのすべてのシステムでラベル構成は同一です。

ラベルセット

セキュリティーラベルセットを参照。

ラベル付きシステム

ラベル付きシステムとは、Trusted Extensions や MLS が有効化された SELinux など、マルチレベルオペレーティングシステムが実行されているシステムのことです。このシステムは、共通 IP セキュリティーオプション (CIPSO) でラベル付けされたヘッダーを含むネットワークパケットを送受信できます。

ラベル付きゾーン

Trusted Extensions が構成された Solaris システムでは、すべてのゾーンに一意のラベルが割り当てられます。大域ゾーンもラベル付けされますが、ラベル付きゾーンは通常、 ラベルが割り当てられた非大域ゾーンを指します。ラベル付きゾーンは、ラベルが構成されていない Solaris システム上の非大域ゾーンとは異なる特性を 2 つ備えています。第 1 に、ラベル付きゾーンは同じプールのユーザー ID とグループ ID を使用する必要があります。第 2 に、ラベル付きゾーンは IP アドレスを共有できます。

ラベル付きホスト

複数のラベル付きシステムから成るトラステッドネットワークの一部をなすラベル付きシステム

ラベルなしシステム

Trusted Extensions が構成された Solaris システムにとって、ラベルなしシステムとは、Trusted Extensions や MLS が有効化された SELinux などのマルチレベルオペレーティングシステムが実行されていないシステムのことです。ラベルなしシステムはラベル付きパケットを送信しません。通信中の Trusted Extensions システムがある単一のラベルをラベルなしシステムに割り当てた場合、その Trusted Extensions システムとラベルなしシステムとの間のネットワーク通信は、そのラベルで行われます。ラベルなしシステムは「シングルレベルシステム」とも呼ばれます。

ラベルなしホスト

Solaris OS を実行するシステムなど、ラベルなしネットワークパケットを送信する、ネットワークに接続されたシステム。

ラベル範囲

コマンド、ゾーン、および割り当て可能デバイスに割り当てられている機密ラベルのセット。最上位ラベルと最下位ラベルを指定することによってこの範囲を指定します。コマンドの場合、最上位ラベルと最下位ラベルは、コマンドが実行されるラベルを制限します。ラベルを認識しない遠隔ホストには、セキュリティー管理者が 1 つのラベルに制限するその他のホストと同様に、1 つの機密ラベルが割り当てられます。ラベル範囲は、デバイスが割り当てられるラベルを制限し、そのデバイスを使用する場合に情報が格納または処理されるラベルを制限します。

割り当て

デバイスへのアクセスを制御するメカニズム。デバイスの割り当てを参照。