ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
Trusted Extensions のゾーンと IP アドレス
Trusted Extensions でのゾーン管理ユーティリティー
通常はラベル付きゾーンから表示されないファイルをループバックマウントする
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions では、大域ゾーンのプロセスを含むすべてのプロセスに MAC ポリシーが適用されます。大域ゾーンのプロセスは ADMIN_HIGH ラベルで実行されます。大域ゾーンのファイルが共有される場合、ADMIN_LOW ラベルで共有されます。MAC では上位のラベルの付いたプロセスが下位のオブジェクトを変更できないため、通常、大域ゾーンは NFS マウントシステムに書き込むことができません。
ただし、限定的ではあるものの、ラベル付きゾーンのアクションでは、大域ゾーンのプロセスにそのゾーンのファイルの変更を要求することがあります。
大域ゾーンのプロセスが読み取り/書き込み権を持つリモートファイルシステムをマウントできるようにするには、リモートファイルシステムのラベルと一致するラベルを持ったゾーンのゾーンパスの下にマウントする必要があります。ただし、そのゾーンのルートパスの下にマウントしてはいけません。
マウントする側のシステムには、リモートファイルシステムと同じラベルのゾーンが必要です。
システムは同じラベルの付いたゾーンのゾーンパスの下にリモートファイルシステムをマウントする必要があります。
システムはリモートファイルシステムを同じラベルの付いたゾーンの「ゾーンルートパス」の下にマウントしてはいけません。
PUBLIC というラベルで public という名前のゾーンを考えてみましょう。「ゾーンパス」 は /zone/public/ です。このゾーンパスの下にあるディレクトリはすべて、次のように、PUBLIC ラベルになります。
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
ゾーンパスの下のディレクトリの中では、/zone/public/root の下にあるファイルのみ public ゾーンから表示できます。ほかの PUBLIC ラベルのディレクトリとファイルはすべて、大域ゾーンからのみアクセスできます。/zone/public/root は「ゾーンルートパス」です。
ゾーンルートパスは、public ゾーン管理者には / として表示されます。同様に、public ゾーン管理者は、ゾーンパスのユーザーのホームディレクトリである、/zone/public/home/username ディレクトリにはアクセスできません。そのディレクトリは、大域ゾーンからのみ表示できます。Public ゾーンはそのディレクトリをゾーンルートパスに /home/ username としてマウントします。そのマウントは、大域ゾーンには /zone/public/root/home/ username として表示されます。
Public ゾーン管理者は /home/ username を変更できます。ユーザーのホームディレクトリのファイルを変更する必要がある場合、大域ゾーンプロセスはそのパスを使用しません。大域ゾーンは、ゾーンパスのユーザーのホームディレクトリ /zone/public/home/username を使用します。
ゾーンパス /zone/zonename/ の下にあり、ゾーンルートパス /zone/zonename /root ディレクトリの下にないファイルおよびディレクトリは、ADMIN_HIGH ラベルで実行される大域ゾーンプロセスで変更できます。
ラベル付きゾーン管理者は、ゾーンルートパス /zone/public/root の下にあるファイルおよびディレクトリを変更できます。
たとえば、ユーザーがデバイスを public ゾーンに割り当てる場合、ADMIN_HIGH ラベルで実行される大域ゾーンプロセスでは、ゾーンパス /zone/public/dev の dev ディレクトリが変更されます。同様に、ユーザーがデスクトップ構成を保存する場合、デスクトップ構成ファイルは /zone/public/home/username の大域ゾーンプロセスによって変更されます。ラベル付きファイルシステムを共有する場合は、「ラベル付きゾーンのファイルシステムを共有する」を参照してください。