Trusted Extensions ソフトウェアと Oracle Solaris OS

Trusted Extensions ソフトウェアは Solaris オペレーティングシステム (Oracle Solaris OS) を実行しているシステムにラベルを追加します。ラベルは、「必須アクセス制御」 (MAC) を実装します。MAC は任意アクセス制御 (DAC) とともに、システムのサブジェクト (プロセス) とオブジェクト (データ) を保護します。Trusted Extensions ソフトウェアには、ラベルの構成、ラベルの割り当て、およびラベルポリシーを処理するためのインタフェースが用意されています。

Trusted Extensions と Oracle Solaris OS の類似性

Trusted Extensions ソフトウェアは、権利プロファイル、役割、監査、特権、および Oracle Solaris OS のその他のセキュリティー機能を使用します。Oracle Solaris Secure Shell (SSH)、BART、Oracle Solaris 暗号フレームワーク、IPsec、および IP フィルタを、Trusted Extensions で使用できます。

Oracle Solaris OS と同様に、ユーザーを各自のジョブの実行に必要なアプリケーションの使用に限定できます。ほかのユーザーには、その他の作業を承認することができます。
Oracle Solaris OS と同様に、以前にスーパーユーザーに割り当てられていた機能が個別の「役割」に割り当てられます。
Oracle Solaris OS と同様に、特権はプロセスを保護します。プロセスを分離するため、ゾーンも使用されます。
Oracle Solaris OS と同様に、システム上のイベントを監査できます。
Trusted Extensions は、policy.conf や exec_attr などの Oracle Solaris OS のシステム構成ファイルを使用します。

Trusted Extensions と Oracle Solaris OS の相違点

Trusted Extensions ソフトウェアは、Oracle Solaris OS を拡張します。次のリストに概要を示します。クイックリファレンスについては、付録 A Trusted Extensions 管理の手引きを参照してください。

Trusted Extensions は、「ラベル」という特別なセキュリティータグを使用して、データへのアクセスを制御します。ラベルでは「必須アクセス制御」(MAC) が使用されます。MAC 保護は、UNIX のファイルアクセス権、つまり随意アクセス制御 (DAC) に追加されます。ラベルは、ユーザー、ゾーン、デバイス、ウィンドウ、およびネットワークの終端に直接割り当てられます。ラベルは、プロセス、ファイル、およびその他のシステムオブジェクトにも暗黙的に割り当てられます。

一般ユーザーが MAC を上書きすることはできません。Trusted Extensions では、一般ユーザーはラベルが割り当てられたゾーンで作業する必要があります。デフォルトでは、ラベルが割り当てられたゾーンのユーザーまたはプロセスは MAC をオーバーライドできません。

Oracle Solaris OS と同様に、MAC のオーバーライドを許可する場合は、セキュリティーポリシーをオーバーライドできる機能を特定のプロセスまたはユーザーに割り当てます。たとえば、ファイルのラベルを変更できるようにユーザーを承認できます。これらの処理は、ファイル内の情報の機密度をアップグレードまたはダウングレードします。
Trusted Extensions は、既存の構成ファイルやコマンドを拡張します。たとえば、Trusted Extensions は監査イベント、承認、特権、権利プロファイルを追加します。
Trusted Extensions システムでは、Oracle Solaris システムでオプションとされている機能の中に必要なものがあります。たとえば、Trusted Extensions が構成されたシステムではゾーンと役割が必要です。
Trusted Extensions システムでは、Oracle Solaris システムでオプションとされている機能の中に推奨されるものがあります。たとえば、Trusted Extensions では、root ユーザーを root 役割に変更するようにしてください。
Trusted Extensions では、Oracle Solaris OS のデフォルトの動作が変更される場合があります。たとえば、Trusted Extensions が構成されたシステムでは、監査がデフォルトで有効です。また、デバイス割り当てが必要です。
Trusted Extensions では、利用できる選択肢が Oracle Solaris OS よりも制限される場合があります。たとえば、Trusted Extensions が構成されたシステムでは、NIS+ ネームサービスはサポートされません。また、Trusted Extensions では、すべてのゾーンはラベル付きゾーンです。Oracle Solaris OS と異なり、ラベル付きゾーンは同じプールのユーザー ID とグループ ID を使用する必要があります。Trusted Extensions では、複数のラベル付きゾーンで 1 つの IP アドレスを共有することもできます。
Trusted Extensions には、トラステッドバージョンの 2 つのデスクトップがあります。ラベル付き環境で作業するには、Trusted Extensions のデスクトップユーザーはこれらのデスクトップのいずれかを使用する必要があります。
- Solaris Trusted Extensions (CDE) – トラステッドバージョンの共通デスクトップ環境 (CDE) です。この名称はTrusted CDE と略すことができます。
- Solaris Trusted Extensions (JDS) – トラステッドバージョンの Java Desktop System, Release number です。この名称は Trusted JDS と略すことができます。
Trusted Extensions には、グラフィカルユーザーインタフェース (GUI) とコマンド行インタフェース (CLI) が追加されています。たとえば、Trusted Extensions にはデバイスを管理するデバイス割り当てマネージャーが用意されています。また、updatehome コマンドは、一般ユーザーの各ラベルのホームディレクトリに、起動ファイルを配置するために使用します。
Trusted Extensions では、管理に特定の GUI を使用する必要があります。たとえば、Trusted Extensions が構成されたシステムでは、Solaris 管理コンソールを使用してユーザー、役割、およびネットワークを管理します。同様に、Trusted CDE では、システムファイルを編集するには管理エディタを使用します。
Trusted Extensions は、ユーザーが表示できる内容を制限します。たとえば、ユーザーが割り当てできないデバイスは、そのユーザーに対して表示されません。
Trusted Extensions は、ユーザーのデスクトップオプションを制限します。たとえば、ユーザーがワークステーションを非活動のままにできる時間は制限されています。この時間を過ぎると、画面がロックされます。

マルチヘッドシステムと Trusted Extensions デスクトップ

マルチヘッドの Trusted Extensions システムのモニターが水平に構成されている場合、1 つのトラステッドストライプが複数のモニターにまたがって表示されます。モニターを垂直に構成すると、トラステッドストライプはいちばん下のモニターに表示されます。

さまざまなワークスペースがマルチヘッドシステムのモニターに表示される場合、Trusted CDE とTrusted JDS とではトラステッドストライプの表示の仕方が異なります。

Trusted JDS デスクトップでは、各モニターにトラステッドストライプが表示されます。

Trusted CDE デスクトップでは、1 つのトラステッドストライプがプライマリモニターに表示されます。

注意 - Trusted CDE マルチヘッドのシステム上で 2 つめのトラステッドストライプが表示される場合、それはオペレーティングシステムによって生成されたものではありません。システムに承認されていないプログラムが存在する可能性があります。

ただちにセキュリティー管理者に連絡してください。正しいトラステッドストライプを確認するには、「デスクトップの現在のフォーカスへの制御を取り戻す」を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語)