ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
マウントされたファイルシステムに対する Trusted Extensions ポリシー
シングルレベルのデータセットに対する Trusted Extensions ポリシー
Trusted Extensions でのファイルシステムの共有とマウントの結果
mlslabel プロパティーとシングルレベルのファイルシステムのマウント
Trusted Extensions での NFS サーバーとクライアントの構成
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (タスクマップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions は Oracle Solaris と同じファイルシステムおよびファイルシステム管理コマンドをサポートしていますが、Trusted Extensions にマウントされるファイルシステムは、ラベル付きデータの表示と変更に関する必須アクセス制御 (MAC) ポリシーに従います。マウントポリシーおよび読み取りと書き込みのポリシーにより、ラベル付けに関する MAC ポリシーが適用されます。
シングルレベルのデータセットの場合、マウントポリシーにより、MAC に違反する NFS マウントや LOFS マウントが回避されます。たとえば、ゾーンのラベルはマウントされるファイルシステムのラベルより優位でなければならず、読み取り/書き込み権によってマウントできるのはラベルが同等のファイルシステムだけです。ほかのゾーンまたは NFS サーバーに属する共有ファイルシステムは、その所有者のラベルでマウントされます。
NFS でマウントされたシングルレベルのデータセットの動作は、次のようにまとめられます。
大域ゾーンでは、マウントされたすべてのファイルが表示可能ですが、変更可能なのはラベル ADMIN_HIGH の付いたファイルだけです。
ラベル付きゾーンでは、そのゾーンのラベル以下でマウントされたすべてのファイルが表示可能ですが、変更可能なのはゾーンのラベルのファイルだけです。
信頼できないシステムでは、その信頼できないシステムに割り当てられたラベルと同じラベルを持つラベル付きゾーンからのファイルシステムのみ、表示と変更が可能です。
LOFS でマウントされたシングルレベルのデータセットの場合、マウントされたファイルは表示可能です。それらはラベル ADMIN_LOW なので変更できません。
マルチレベルのデータセットの場合、MAC 読み取りおよび書き込みポリシーが、ファイルシステム単位ではなく、ファイルおよびディレクトリ単位で適用されます。
マルチレベルのデータセットは大域ゾーンにのみマウントできます。ラベル付きゾーンは、zonecfg コマンドで指定された LOFS マウントポイントを使用して、マルチレベルのデータセットにアクセスできます。手順については、「マルチレベルのデータセットを作成および共有する方法」を参照してください。大域ゾーンまたはラベル付きゾーンのプロセスは、適切な権限が付与されていれば、ファイルとディレクトリのラベルを変更できます。ラベル変更の例については、『Trusted Extensions ユーザーズガイド』を参照してください。
大域ゾーンでは、マルチレベルのデータセット内のすべてのファイルが表示可能です。ラベル ADMIN_HIGH の付いたマウントされたファイルは変更可能です。
ラベル付きゾーンでは、マルチレベルのデータセットは LOFS 経由でマウントされます。ゾーンと同じラベルまたはより低いレベルでマウントされたファイルは、表示可能です。ゾーンと同じラベルでマウントされたファイルは変更可能です。
マルチレベルのデータセットは、大域ゾーンから NFS 経由で共有することもできます。リモートクライアントは、そのネットワークラベルのほうが優位であるファイルを表示でき、等しいラベルの付いたファイルを変更できます。ただし、NFS でマウントされたマルチレベルのデータセットのラベルを変更することはできません。NFS マウントについては、「別のシステムのマルチレベルデータセットのマウント」を参照してください。
詳細は、「ファイルのラベル変更に使用されるマルチレベルのデータセット」を参照してください
ファイルの読み取りと書き込みに関する MAC ポリシーには、特権のオーバーライドがありません。シングルレベルのデータセットを読み取り/書き込み権付きでマウントできるのは、ゾーンのラベルがデータセットのラベルと等しい場合だけです。読み取り専用マウントの場合、ゾーンのラベルがデータセットのラベルより優位であることが必要です。マルチレベルのデータセットの場合、すべてのファイルとディレクトリよりも mlslabel プロパティーのほうが優位でなければなりません。このプロパティーのデフォルト値は ADMIN_HIGH です。マルチレベルのデータセットの場合、MAC ポリシーはファイルおよびディレクトリのレベルで適用されます。MAC ポリシーの適用はどのユーザーにも表示されません。ユーザーは、オブジェクトに対する MAC アクセスを持っていないかぎり、そのオブジェクトを表示できません。
シングルレベルのデータセットに対する Trusted Extensions の共有ポリシーとマウントポリシーは、次のようにまとめられます。
Trusted Extensions システムが別の Trusted Extensions システムのファイルシステムをマウントできるためには、サーバーとクライアントが互換性のある cipso タイプのリモートホストテンプレートを持っている必要があります。
Trusted Extensions システムが信頼できないシステムのファイルシステムをマウントできるようにするためには、Trusted Extensions システムによって信頼できないシステムに割り当てられたシングルラベルが、大域ゾーンのラベルに一致する必要があります。
同様に、ラベル付きゾーンが信頼できないシステムのファイルシステムをマウントできるためには、Trusted Extensions システムによって信頼できないシステムに割り当てられたシングルラベルが、マウント先ゾーンのラベルに一致する必要があります。
マウント先のゾーンとは異なるラベルを持つファイルが LOFS でマウントされた場合、そのファイルは表示はできますが、変更はできません。NFS マウントの詳細については、「Trusted Extensions での NFS サーバーとクライアントの構成」を参照してください。
マルチレベルのデータセットに対する Trusted Extensions の共有ポリシーとマウントポリシーは、次のようにまとめられます。
Trusted Extensions システムがマルチレベルのデータセットを別のシステムと共有できるためには、NFS サーバーがマルチレベルサービスとして構成されている必要があります。
Trusted Extensions システムがマルチレベルのデータセットをラベル付きゾーンと共有できるためには、大域ゾーンがゾーンにデータセットを LOFS でマウントする必要があります。
ラベル付きゾーンは、LOFS でマウントされたこれらのファイルとディレクトリのうち、ラベルがゾーンのラベルと一致するものに対しては書き込みアクセス、ゾーンのラベルのほうが優位であるファイルとディレクトリに対しては読み取りアクセスを行うことができます。MAC ポリシーはファイルおよびディレクトリのレベルで適用されます。