次の変更は、ファイルとファイルシステムのセキュリティーに関連しています。
このリリースでは、chmod 操作中にファイルの ACL アクセス権がどのように変更されるかを決める aclmode プロパティーが再導入されました。aclmode 値は、discard、mask、および passthrough です。デフォルト値の discard はもっとも制限が厳しく、passthrough 値はもっとも制限が緩やかです。
使用例 3 ZFS ファイルでの ACL と chmod 操作との相互作用次の例は、特定の aclmode および aclinherit プロパティー値が既存の ACL と、グループの所有権に一致するように既存の ACL アクセス権を縮小または拡大する chmod 操作との相互作用にどのような影響を及ぼすかを示しています。
この例では、aclmode プロパティーは mask に設定され、aclinherit プロパティーは restricted に設定されます。この例の ACL アクセス権は、変更中のアクセス権をより示しやすくするコンパクトモードで表示されます。
元のファイルおよびグループ所有権と ACL アクセス権は次のとおりです。
# zfs set aclmode=mask pond/whoville # zfs set aclinherit=restricted pond/whoville # ls -lV file.1 -rwxrwx---+ 1 root root 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
chown 操作によって file.1 のファイル所有権が変更され、所有しているユーザー amy によって出力が表示されます。例:
# chown amy:staff file.1 # su - amy $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
次の chmod 操作では、アクセス権がより制限の厳しいモードに変更されます。この例では、変更された sysadmin グループと staff グループの ACL アクセス権が、所有しているグループのアクセス権を超えることはありません。
$ chmod 640 file.1 $ ls -lV file.1 -rw-r-----+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:r-----a-R-c---:-------:allow group:staff:r-----a-R-c---:-------:allow owner@:rw-p--aARWcCos:-------:allow group@:r-----a-R-c--s:-------:allow everyone@:------a-R-c--s:-------:allow
次の chmod 操作では、アクセス権がより制限の緩やかなモードに変更されます。この例では、変更された sysadmin グループと staff グループの ACL アクセス権が、所有しているグループと同じアクセス権を許可するように復元されます。
$ chmod 770 file.1 $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
Oracle Solaris の以前のリリースとこのリリースでは、暗号化フレームワーク機能にファイルを暗号化するための encrypt、decrypt、および mac コマンドが備わっています。
Oracle Solaris 10 は ZFS 暗号化をサポートしていません。ただし、Oracle Solaris 11 は次の ZFS 暗号化機能をサポートしています。
ZFS 暗号化は ZFS コマンドセットと統合されています。ほかの ZFS 操作と同様に、鍵の変更および鍵の再入力操作はオンラインで実行されます。
既存のストレージプールがアップグレードされていれば、それを使用できます。特定のファイルシステムの暗号化には柔軟性があります。
ZFS 暗号化は子孫のファイルシステムに継承できます。鍵管理は、ZFS 委任管理を通じて委任できます。
データは、CCM および GCM 操作モードで鍵長が 128,192、および 256 の AES (Advanced Encryption Standard) を使用して暗号化されます。
ZFS 暗号化では、暗号化フレームワーク機能を使用します。これにより、利用可能なハードウェアアクセラレーションや、暗号化アルゴリズムの最適化されたソフトウェア実装に自動的にアクセスできます。
次の例は、暗号化された ZFS ファイルシステムの作成方法を示しています。デフォルトの暗号化ポリシーでは、最低 8 文字の長さが必要な passphrase の入力が求められます。
# zfs create -o encryption=on tank/data Enter passphrase for 'tank/data': xxxxxxxx Enter again: xxxxxxxx
ファイルシステムの暗号化の値が on になっている場合、デフォルトの暗号化アルゴリズムは aes-128-ccm です。
暗号化されたファイルシステムが作成されたあとで、その暗号化を解除することはできません。例:
# zfs set encryption=off tank/data cannot set property for 'tank/data': 'encryption' is readonly
Oracle Solaris 11.3 での ZFS ファイルシステムの管理 のZFS ファイルシステムの暗号化を参照してください。
file-mac-profile プロパティーでは、読み取り専用のルートファイルシステムでゾーンを実行できます。この機能を使用すると、allzone 特権を持つプロセスに対しても、ゾーンのファイルシステムのどの程度を読み取り専用にするかを決める 4 つの定義済みプロファイルから選択できます。Oracle Solaris ゾーンの作成と使用 のzonecfg の file-mac profile プロパティーを参照してください。