Intro(1)

名前 | 機能説明 | 定義 | Solaris と Trusted Solaris の相違点 | Trusted Solars での変更点 | 属性 | 関連項目 | 診断 | 警告

名前

Intro, intro- コマンドおよびアプリケーションプログラムの序章

機能説明

このセクションでは、以下の Trusted Solaris^TM コマンドについて説明します。

• Trusted Solaris 環境に固有で、ここから派生したコマンド (たとえば、getlabel(1) など)。このコマンドを使用すると、ファイルのラベルを表示できます。

• ベースとなる製品から派生し、Trusted Solaris のセキュリティポリシーに 従って動作するように変更された SunOS 5.7 コマンドのことです。たとえば、tar(1) には、ラベルなどのセキュリティ属性をアーカイブ上で保持するための新しい -s オプションが追加されました。変更されたコマンドのマニュアルページは書き直され、Trusted Solaris オペレーティング環境でのコマンドの動作に当てはまらない情報は削除されました。変更されたマニュアルページには、追加された新しい機能、オプション、引数などの説明も追加されています。

• Solaris 7 リリースから変更されていない SunOS コマンド (たとえば、who(1))

---

注 -

Trusted Solaris 環境では特定のコマンドがインストールされても、すべてのユーザーがそのコマンドを使用できるように構成されるとは限りません。サイトのセキュリティ管理者が一部のコマンドを制限したり、実行プロファイルを使用してコマンドのセキュリティ属性を変更している場合があります。(セキュリティ属性、実行プロファイル、その他の新しい Trusted Solaris 用語は、Intro(1) のセクションで定義されています。実行プロファイルに特定のコマンドを持っていないユーザーは、そのコマンドを使用できません。コマンドがユーザーの実行プロファイルにあっても、期待通りにそのコマンドが動作しないことがあります。これは、実行プロファイルに指定されているラベル範囲や他のコマンドのセキュリティ属性が、そのコマンドの動作を制限している場合があります。このセクションに記載されているコマンドが完全に動作しなかったり、期待通りに動作しない場合、セキュリティ管理者に問い合わせてください。

---

特別な範疇に収まるコマンドについては、以下のように区別しています。

1B

SunOS/BSD 互換性パッケージにだけ存在するコマンド。 詳細は、『Source Compatibility Guide』を参照してください。

このセクションのプリンタコマンドは、Trusted Solaris 環境で変更されています。

1C

他のシステムと通信するためのコマンド

このセクションのコマンドは、Trusted Solaris 環境では変更されていません。

1F

フォームとメニュー言語インタプリタ (FMLI) に関連するコマンド

このセクションのコマンドは、Trusted Solaris 環境では変更されていません。

1S

SunOS システムにだけ存在するコマンド

このセクションのコマンドは、Trusted Solaris 環境では変更されていません。

その他のセクションについて

詳細は、Trusted Solaris の『SunOS リファレンスマニュアル(1M): 保守コマンド』および Solaris の『SunOS リファレンスマニュアル (1M) : 保守コマンド』の各セクションを参照してください。

• システム管理のコマンドについては、本マニュアルのセクション 1M を参照してください。

  このセクションの一部のコマンドは、Trusted Solaris 環境で変更されています。また、追加されたコマンドがあります。

• ファイルの形式については、マニュアルのセクション 4 を参照してください。

  このセクションの一部のファイル形式は、Trusted Solaris 環境で変更されています。また、追加されたエントリがあります。

• 公で使用できるファイルや種々雑多な情報については、 本マニュアルのセクション 5 を参照してください。

  Trusted Solaris 環境では、特権マクロに関して 1 つのエントリがこのセクションに追加されています。

• コンピュータのデモンストレーションについては、 本マニュアルのセクション 6 を参照してください。

  このセクションのエントリは、Trusted Solaris 環境では変更されていません。

Solaris 7 リリースから変更されていない上記のコマンドやプロシージャの使い方については、以下のマニュアルを参照してください。

• 『OpenWindows Advanced User's Guide 』

• 『Programming Utilities Guide 』

Trusted Solaris 環境に固有なコマンドやプロシージャの使い方については、Trusted Solaris の管理者用のマニュアルを参照してください。

マニュアルページの表示

オンラインのマニュアルページと AnswerBook2^TM マニュアルページは、SunOS 5.7 から変更されていないすべてのコマンド、SunOS 5.7 から Trusted Solaris 7 用に変更されたコマンド、および Trusted Solaris 7 から派生したコマンドについて表示します。

印刷版マニュアルには、Trusted Solaris 環境で変更されたか、ここから派生したコマンドだけが含まれます。変更のない SunOS 5.7 マニュアルページの印刷版は、『SunOS 5.7 リファレンスマニュアル』 にあります。

マニュアルページのコマンドの構文

特に説明しないかぎり、マニュアルページの 「形式」 の項で記述されるコマンドは、以下の構文に従って、 オプションやその他の引数を受け付けます。 そして、以下のように解釈されなければなりません。

name [-option...] [cmdarg...] where:

[ ]

必須でない option (オプション) や cmdarg (引数) を囲みます。

...

option (オプション) や cmdarg (引数) が複数回発生することを意味します。

name

実行可能ファイルの名前です。

{ }

中括弧で囲まれた、オプションまたは引数 ( および両方 ) は独立しており、 括弧内のすべてを 1 つの単位として扱わなければなりません。

option

(常に "-" が先行します。) noargletter... または、 argletter optarg[,...]

noargletter

引数が必要ないオプション 1 文字を表します。 複数の noargletter を指定する場合、 1 つの "-" の後にまとめて指定できます (後述のルール 5)。

argletter

引数が必要なオプション 1 文字を表します。

optarg

argletter に必要なオプション引数 (文字列) です。 複数の optargs を argletter に指定する場合、コンマで区切る、または、タブか空白文字で区切って 引用符で囲まなければなりません (後述のルール 8)。

cmdarg

"-" で始まらないパス名 (または他のコマンドの引数)。 "-" だけを指定すると標準入力を表します。

コマンド構文規格：ルール

ここで説明するコマンド構文のルールは、 既存のコマンドすべてに適用されているわけではありません。 しかし、新規のコマンドはすべてこのルールに従う予定です。 すべてのシェルプロシージャは getopts(1) を使って、定位置パラメタを構文解析し、 オプションが合法かどうかチェックしなければなりません。 getopts(1) は、以下に説明するルール 3 から 10 までをサポートします。 その他の規則については、コマンド自身がチェックしなければなりません

1. コマンド名 (上記の name) は、 2 文字から 9 文字までの長さでなければなりません。

2. コマンド名は、小文字と数字だけで構成されなければなりません。

3. オプション名 (上記の option) は、 1 文字でなければなりません。

4. オプションには "-" が先行しなければなりません。

5. 引数なしのオプションは、 1 つの "-" の後に複数個まとめて指定できます。

6. オプションとオプションの最初の引数 (上記の optarg) の間は、 タブか空白文字で区切らなければなりません。

7. オプションの引数は、必ず指定しなければなりません。

8. オプションに複数のオプションの引数が続く場合、 それぞれをコンマで区切る、または、タブか空白文字で区切って 引用符で囲まなければなりません (たとえば、-o xxx,z,yy や - o "xxx z yy" など)。

9. コマンド行上では、オプションはオペランド (上記の cmdarg) より前に指定しなければなりません。

10. "- -" を使って、オプションの終わりを示すことができます。

11. オプションの相対的な順番は問題になりません。

12. オペランド (上記の cmdarg) の相対的な順番は、 その位置によって、コマンドが決めた意味に影響します。

13. "-" の前後に空白文字を指定した場合 (``-''だけを指定した場合) 、標準入力を表します。

ラベルの表示と入力の規則

Trusted Solaris 環境は常にラベルを大文字で表示します。ユーザはラベルを大文字と小文字の任意の組み合わせで入力できます。システムがどのように構成されているか、およびユーザがどのように設定されているかによって、ユーザのワークスペースの各ウィンドウ枠の上部とトラステッドストライプに、機密ラベルが表示されたり、あるいは、まったく表示されないようにも設定できます。機密ラベルが表示されるように構成されている場合、機密ラベルは括弧に囲まれて、長い形式 (ウィンドウシステムの設定による) で表示されます。

注

コマンド行にラベルを入力する場合は、Intro(1M) のマニュアルページの「ラベルの表示と入力の規則」を参照してください。

定義

ACL

「アクセス制御リスト」を参照してください。

アクセス制御リスト

所有者がファイルまたはディレクトリに指定できるエントリのリストに基づく任意アクセス制御の一種。アクセス制御リスト (ACL) によって、任意の数の個人またはグループのアクセス権を制限または許可することによって、標準の UNIX のアクセス権ビットよりもきめ細かい制御を行うことができます。

認可範囲

実際は範囲でなく、特定のラベルの集まり。Trusted Solaris 環境における 2 種類の認可範囲についての詳細は、「ユーザ認可範囲」と「システム認可範囲」を参照してください。

割り当て可能デバイス

Trusted Solaris システムでアクセス権が制御されているデバイス。このデバイスは 1 回に つき1 人のユーザにしか割り当てすることができません。すべてのデバイスが割り当て可能になるわけではありません。割り当て可能デバイスには、テープドライブ、フロッピードライブ、オーディオデバイス、CD-ROM デバイスなどがあります (「デバイスの割り当て」を参照)。

承認

ユーザに与えられる、アクションを実行するための権利。この権利がない場合、Trusted Solaris のセキュリティポリシーでは、ユーザはアクションを実行することができません。コマンドを実行に必要な承認を持たないユーザは、そのコマンドを使用できません。これはプログラムに必要な特権の扱と同様です。

CDE アクション

Trusted Solaris に含まれる、アクション管理メカニズム。特定の作業に 必要なコマンド(複数も可)を指定し、そのコマンドをユーザに割り当てる仕組みです。CDE アクションでは、各コマンドにオプションと引数を指定でき、また、引数を追加するかどうかをユーザに尋ねるダイアログボックスも使用できます。通常、各 CDE アクションは独自のアイコンを持ち、独自のセキュリティ属性が割り当てられています。 CDE アクションは実行プロファイルに指定することもできます。

CMW ラベル

情報ラベルと、それに続く角括弧に囲まれた機密ラベルを指す。 つまり「情報ラベル [機密ラベル]」の形式のラベルです。

格付け

機密ラベル、情報ラベル、認可上限の中で上下関係を示す部分。それぞれを示すラベルには、格付けが1つだけ含まれています。 ファイルまたはディレクトリに割り当てられた機密ラベルでは、格付けは、ファイルまたはディレクトリに含まれている情報の保護レベルを示します。保護レベルは、情報の機密度に基づいて相対的に決められます。ユーザとユーザの代わりにアプリケーションやコマンドを実行するプロセスに割り当てられる認可上限では、格付けは信用のレベルを示します。

認可上限

ユーザが作業できるラベルの上限。下限は、セキュリティ管理者が初期ラベルとして割り当てる最下位ラベルです。認可上限には、ユーザ認可上限とセッション認可上限の 2 種類があります。

コンパートメント

機密ラベル、情報ラベル、認可上限に含まれる語句のセット。コンパートメントには、コンパートメントを含むラベルや、そのラベルが割り当てられているファイルの対象範囲や、それらに関わる作業グループ、個々のユーザを示す語句が指定されます。

DAC

「任意アクセス制御」を参照してください。

任意アクセス制御 (DAC)

ファイルまたはディレクトリの所有者が、その自由裁量によって、許可または拒否できる アクセス権の 1 種。Trusted Solaris システムは「アクセス権ビット」と「アクセス制御リスト」の 2 種類の任意アクセス制御 (DAC) を提供します。

デバイス割り当て

割り当て可能デバイス上の情報に対して、デバイスを割り当てたユーザ以外の人間からのアクセスを防ぐ仕組み。デバイスが割り当て解除されるまで、デバイスを割り当てたユーザ以外の人間は、そのデバイスに関連する情報にアクセスできません。デバイスが割り当て解除されるときにデバイスcleanスクリプトを実行することによって、再びそのデバイスが他のユーザによってアクセスされる前に、そのデバイスの情報を消去できます。ユーザがデバイスを割り当てるには、そのユーザにセキュリティ管理者がデバイス割り当て承認を与えなければなりません。さらに、ユーザが実行するプロセスの機密ラベルがそのデバイスのラベル範囲内になければなりません。テープやフロッピードライブなどの記憶デバイスの割り当て解除時、システムはユーザに記憶媒体を取り除くように促します。このとき、情報ラベルと機密ラベルが表示されるように構成されている場合は情報ラベルを提示し、記憶媒体をどのように扱うかを示す指針としてその情報ラベルを機密ラベルとあわせて物理的なラベル(シールや付箋)などに記入しておくようにユーザに促します。

優位

任意の種類のラベル (機密ラベル、情報ラベル、認可上限のいずれか) が、比較対象とする別のラベル以上のセキュリティレベルを持つとき、「1 番目のラベルは 2 番目のラベルよりも優位である」と言います。優位なラベルの格付けは 2 番目のラベルの格付け以上でなければなりません。さらに、優位なラベルは、別のラベルに含まれるすべての語句 (もしあれば、コンパートメントとマーキング) を含んでいなければなりません。2 つの等しいラベルはお互いに優位です。MAC を決定するときは、機密ラベルを比較して、どちらが優位であるかを決定します。「完全な優位」を参照してください。

実行プロファイル

コマンドと CDE アクション、そしてコマンドと CDE アクションに割り当てられたセキュリティ属性を管理するための仕組み。実行プロファイルによって、Trusted Solaris の管理者は、誰がどのコマンドを実行できるかを制御でき、また、これらのコマンドが実行されるときの属性を制御できます。ユーザがログインするとき、そのユーザに割り当てられているすべての実行プロファイルが有効になります。そして、そのユーザのすべての実行プロファイルで割り当てられているすべてのコマンドと "CDE" アクションへのアクセス権がそのユーザに与えられます。

ファイルのアクセス権

システムではすべて (スプレッドシート、プリンタ、手紙、マニュアルの章、メールメッセージなど) がファイルとして処理され、ディレクトリに格納されているため、何をするにしても、ユーザはファイルまたはディレクトリにアクセスしなければなりません。ここでは、アクセスの状態について説明します。UNIX システムではデバイスもファイルとして扱われますが、ファイルやディレクトリと比較すると必須アクセス規則が若干異なります。したがって、これらの規則については、この節の別の場所で説明します。ファイル、ディレクトリ、デバイスにアクセスする方法は、次の 3 つです。

• ファイル、ディレクトリ、デバイスの名前を表示できる。

• ファイル、ディレクトリ、デバイスの内容または属性を表示できる。

• ファイル、ディレクトリ、デバイスの内容または属性を変更できる。

Trusted Solaris 環境では、これらのアクセスの種類が許可または拒否されるかは、基本的な UNIX の任意アクセス制御のチェックだけでなく、必須アクセス制御のチェックにも通過しているかどうかによって決定されます。

すべての種類のアクセス権を得るには、プロセスの機密ラベルがパス名中のすべてのディレクトリの機密ラベルよりも優位であり、さらに、プロセスの所有者 (コマンドを実行した人) もパス名中のすべてのディレクトリへの任意検索アクセス権を持っていなければなりません。ファイル、ディレクトリ、デバイスの名前を表示するアクセス権を得るには、その部分のチェックに通過しているだけでかまいません。

ファイルまたはディレクトリの内容または属性を表示するためのアクセス権 (読み取り権) を得るには、プロセスの機密ラベルがファイルまたはディレクトリの機密ラベルよりも優位でなければなりません。デバイスの内容を表示するためのアクセス権を得るには (たとえば、テープドライブにあるテープの情報を読み取るには)、プロセスの機密ラベルがデバイスの機密ラベルと等しくなければなりません。さらに、プロセスの所有者もファイル、ディレクトリ、デバイスへの任意読み取りアクセス権を持っていなければなりません。

プロセスがファイルに書き込んだり、ファイルの属性を変更したりするには、ファイルの機密ラベルがプロセスの機密ラベルよりも優位であり、さらに、プロセスの認可上限 (プロセスの認可上限にはセッションの認可上限が設定されます。) 内になければなりません。プロセスがディレクトリに書き込む (つまり、ファイルを作成する) には、プロセスの機密ラベルがディレクトリの機密ラベルと等しくなければなりません。プロセスがデバイスに書き込む (たとえば、テープドライブにあるテープに情報を格納する) には、プロセスの機密ラベルはデバイスの機密ラベルとも等しくなければなりません。デバイスファイルのセキュリティポリシーは通常ファイルのポリシーとは異なるものでもかまいません。この場合、セキュリティ管理者が device_policy(4) ファイルにポリシーを定義します。プロセスの所有者は、ファイル、ディレクトリ、ディレクトリへの任意書き込みアクセス権を持っていなければなりません。

MAC または DAC チェックが (さまざまな理由で) 失敗するとき、拒否されているアクセス権の種類によっては、特定の無効化特権をコマンドに適用できます。ただし、コマンドに対する特権の適用を決定できるのは、セキュリティ管理者だけです。実行するユーザに適切な特権を使用許可を与えコマンドの信頼性を維持することで特権の乱用によるセキュリティ侵害が起こらないようにする責任がセキュリティ管理者にあるためです。

次に示す条件と無効化特権は、すべての種類のアクセス権に適用されます。

• プロセスの機密ラベルがパス名中のディレクトリの機密ラベルよりも優位でない場合、プロセスは、上位検索 (プロセスの機密ラベルよりも優位である機密ラベルを持つディレクトリを検索すること) するための特権 file_mac_search を持っていなければなりません。

• コマンドを実行したユーザがパス名内のディレクトリに任意検索アクセス権を持っていない場合、ディレクトリにアクセスするとき、プロセスは検索制限を無効にする特権 file_dac_search を持っていなければなりません。

次に示す条件と無効化特権は、表示 (読み取り) アクセス権に適用されます。

• プロセスの機密ラベルがファイルの機密ラベルよりも優位でない場合、あるいは、ディレクトリまたはデバイスの機密ラベルと等しくない場合、プロセスは MAC 読み取り制限を無効にする特権 file_mac_read を持っていなければなりません。

• コマンドを実行したユーザがファイルまたはディレクトリの任意読み取りアクセス権を持っていない場合、プロセスは DAC 読み取り制限を無効にする特権 file_dac_read を持っていなければなりません。

次に示す条件と無効化特権は、変更 (書き込み) アクセス権に適用されます。

• ファイルの機密ラベルがプロセスの機密ラベルにより優位でない場合、あるいは、ディレクトリまたはデバイスの機密 ラベルがプロセスの機密ラベルと等しくない場合、プロセスは MAC 書き込み制限を無効にして、ユーザが認可上限を超えて上位書き込みできるようにする特権 file_mac_write を持っていなければなりません。

• コマンドを実行したユーザがファイルまたはディレクトリの任意書き込みアクセス権を持っていない場合、プロセスは DAC 書き込み制限を無効にする特権 file_dac_write を持っていなければなりません。

情報ラベル

ファイルまたはディレクトリに含まれている情報の実際のセキュリティレベルを意味するラベル。このラベルは、ファイルまたはディレクトリの機密ラベルを降格するかどうか、バックアップ媒体に格納されている情報にどのようにラベルを物理的に付けるのか、印刷出力またはメールをどのように処理するのかを決定するときに使用されます。

情報ラベルの浮上

1 つの情報ラベルを持つファイルまたはディレクトリが別の情報ラベルを持つプロセスによってアクセスされるとき、2 つの情報ラベルが連結されます。この連結によってできた情報ラベルは、両方の情報ラベルを結合したセキュリティレベルを反映したものになります。

初期ラベル

セキュリティ管理者がユーザのセキュリティ属性を指定するときに設定するユーザの最下位ラベル。このラベルは、ユーザが最初にログインしたときに表示される最初のワークスペースの機密ラベルになります。

ラベル

ファイルまたはディレクトリに格納される情報が保護されるべきレベルに基づいて、ファイルまたはディレクトリに割り当てられるセキュリティ識別子。セキュリティ管理者がどのように環境を構成するかによって、ユーザに完全な CMW ラベルが表示されたり、機密ラベルの部分だけが表示されたり、情報ラベルの部分だけが表示されたり、あるいはまったく表示されないようにも設定できます。

ラベル範囲

最上位ラベルと最下位ラベルを示すことによって、コマンド、ファイルシステム、割り当て可能デバイスに割り当てられる機密ラベルの集まり。コマンドの場合、最下位ラベルと最上位ラベルによって、コマンドを実行できる機密ラベルの範囲が制限されます。ファイルシステムの場合、最下位ラベルと最上位ラベルによって、情報を各ファイルシステムに格納できる機密ラベルの範囲が制限されます。Trusted Solaris 環境は、最低の機密ラベルから最高の機密ラベルまでのラベル範囲を持つように構成されたマルチラベルのファイルシステムを持っています。ラベルを認識しないリモートホストは、セキュリティ管理者によって単一のラベルに制限されているすべてのホストと同様に、単一の機密ラベルが割り当てられます。つまり、このようなホストからマウントされたファイルシステムのラベル範囲は、リモートホストの機密ラベルと同じ機密ラベルに制限されるように構成されます。割り当て可能デバイスの場合は、最下位ラベルと最上位ラベルによって、デバイスを割り当てることができる機密ラベルの範囲と、そのデバイスを使用して情報を格納または処理できる機密ラベルの範囲がを制限されます。

MAC

「必須アクセス制御」を参照してください。

MLD

「マルチレベルディレクトリ」を参照してください。

必須アクセス制御 (MAC)

ファイル、ディレクトリ、デバイスの機密ラベルと、それにアクセスしようとするプロセスの機密ラベルとの比較に基づく制御の 1 種。ディレクトリとデバイスは UNIX システムのファイルのように管理されますが、ディレクトリとデバイスに適用される MAC の規則はファイルに適用される規則とは異なります。MAC チェックは、ファイルの機密ラベルがプロセスの機密ラベルよりも優位である場合にのみ、ファイルへの書き込みアクセスを許します。このポリシーを「上位書き込み」と呼びます。プロセスの認可上限 (セッション認可上限と同じに設定される) よりも高い機密ラベルを持つファイルには、プロセスは書き込めません (上位書き込みポリシーには「同位書き込み」も含まれます)。ディレクトリまたはデバイスへの書き込みアクセスについては、MAC チェックは、ディレクトリまたはデバイスの機密ラベルがプロセスの機密ラベルと等しい場合のみ書き込みアクセスを許します。このポリシーを「同位書き込み」と呼びます。ファイルまたはディレクトリの表示用(読み取りまたは検索)にアクセスについては、MAC チェックは、プロセスの機密ラベルがファイルまたはディレクトリの機密ラベルよりも優位である場合にのみ表示用アクセスを許可します。このポリシーを「下位読み取り」と呼びます。デバイスが表示用にアクセスできるようになる前に、MAC チェックは、プロセスの機密ラベルがデバイスの機密ラベルと等しいことを保証します。このポリシーを「同位読み取り」と呼びます (下位読み取りポリシーには「同位読み取り」も含まれます)。

ある機密ラベルのプロセスが別の機密ラベルのファイルを読み取ろうとしたり、書き込もうとするときに適用される規則は「上位書き込み、下位読み取り」です。ある機密ラベルのプロセスが別の機密ラベルのディレクトリに書き込もうとするときに適用される規則は「同位書き込み、下位読み取り」です。ある機密ラベルのプロセスが別の機密ラベルのデバイスに書き込もうとするときに適用される規則は「同位読み取り、同位書き込み」です。

マーキング

ラベル付き情報に適用されるコードワード、取り扱い上の警告、管理上の注意、リリースの情報、関連ビットなどを表す語句。マーキングは情報ラベルだけに含まれます。

最下位ラベル

ユーザの場合、特定のユーザが作業できる機密ラベルの下限。このラベルは、セキュリティ管理者がユーザのアカウントを設定するときに初期ラベルとして指定します。システムの場合、セキュリティ管理者が label_encodings ファイルの最下位ラベルフィールドに指定した機密ラベルがすべてのユーザの下限として設定されます。

マルチレベルディレクトリ

異なる機密ラベルの情報を別々のサブディレクトリ (シングルレベルディレクトリ (SLD) と呼ぶ) に保持しているディレクトリ。ほとんどのインタフェースでは、単一の名前を持つ単一のディレクトリのように見えます。Trusted Solaris 環境では、複数の標準アプリケーションが異なるラベルを持つ複数のファイルを格納するディレクトリ (/tmp ディレクトリ、/var/spool/mail、ユーザの $HOME ディレクトリなど) は、MLD に設定されます。MLD 中で作業しているユーザには、ユーザのプロセスの機密ラベルを持つファイルだけが表示されます。

アクセス権ビット

所有者がファイルまたはディレクトリの読み取り権、書き込み権、実行権を示すビットのセットを指定する任意アクセス制御の一種。3 つの異なるアクセス権のセットが各ファイルまたはディレクトリに割り当てられます。1 つのセットは所有者用、1 つのセットはファイルまたはディレクトリに指定されたグループのすべてのメンバー用、そしてもう 1 つのセットはその他のすべてのユーザ用です。「アクセス制御リスト」も参照してください。

特権

コマンドを実行するプロセスに与えられ、コマンドまたは 1 つ以上のコマンドのオプションがセキュリティポリシーの一部の制限を無視できる権利。特権を与えることができるのは、サイトのセキュリティ管理者だけです。セキュリティ管理者は、コマンド自身またはコマンドを使用した人が信頼できる方法でその特権を使用できると判断したときに特権を与えます。

プロファイルメカニズム

サイトのセキュリティ管理者が、コマンド、CDE アクション、これらのコマンドとアクションが関連付けられているセキュリティ属性を実行プロファイルに取りまとめるための仕組み。実行プロファイルは、実行する必要のある作業によって、1 人または複数のユーザに割り当てることができます。

プロセス

コマンドを呼び出したユーザの代わりにコマンドを実行するアクション。プロセスはユーザからセキュリティ属性 (ユーザ ID (UID)、グループ ID (GID)、追加グループリスト、ユーザの監査 ID (AUID) を含む) を受け取ります。プロセスが受け取るセキュリティ属性には、実行されているコマンドで利用可能な特権、プロセス認可上限 (セッション認可上限と同じに設定される)、現在のワークスペースの機密ラベル、および情報ラベルが含まれます。

経路制御 (ルーティング)

Trusted Solaris ホストは、ブート時に経路制御情報を読み込んで、データを転送できるようにします。ファイル /etc/tsolgateways (管理者が手動で保守する) が存在する場合、このファイル中のゲートウェイはホストのデフォルトとして機能します。/etc/tsolgateways が存在しない場合、ホストは、ファイル /etc/defaultrouter (管理者が手動で保守する) にあるデフォルトの経路制御を使用します。両方のファイルが存在する場合、ホストは静的な経路制御を使用します。

/etc/tsolgateways と /etc/defaultrouter の両方のファイルが存在しない場合、ホストは動的な経路制御を使用します。そして、特別なデーモン in.rdisc(1M) (ネットワークルータ検出デーモン) が利用できるときはこのデーモンを起動します。このデーモンが利用できないときは、in.routed(1M) (ネットワーク経路制御デーモン) を起動します。ホストがゲートウェイとしても機能する場合 (つまり、複数のネットワークに接続されている場合)、in.rdiscと in.routedの両方を起動します。ブート時、tnrhdb ファイルと tnrhtp ファイル (/etc/security/tsol/boot ディレクトリに存在する) がカーネルにロードされて、ホストが NIS+ マスターと通信できるようにします。デフォルトでは、/etc/security/tsol/boot には、ネットワークが Trusted Solaris ネットワークであることを示すエントリ 0.0.0.0:tsol が含まれています。

SLD

「シングルレベルディレクトリ」を参照してください。

セキュリティ管理者

Trusted Solaris セキュリティポリシーを実施するために使用される属性。ベースとなる Solaris と Trusted Solaris の両方のシステムのさまざまなセキュリティ属性のセットが、プロセス、ユーザ、ファイル、ディレクトリ、ファイルシステム、トラステッドネットワーク上のホスト、割り当て可能デバイスなどのに割り当てられます。

セキュリティ属性

ベースとなる Solaris 環境のユーザ用のセキュリティ属性には、ユーザ ID (UID)、監査 ID (AUID)、グループ (AUID) (GID)、および追加グループ ID (SGID) があります。Trusted Solaris システムのユーザ用のセキュリティ属性には、認可上限、最下位ラベル (初期ラベル)、承認があります。ファイルの重要な Trusted Solaris セキュリティ属性は CMW ラベルです。CMWラベルは、アクセス権の決定で使用される機密ラベルと、ファイルに含まれている情報の実際の重要度を追跡するために使用される情報ラベルで構成されています。ラベル範囲セキュリティ属性は、ファイルシステム、割り当て可能デバイス、およびプリンタ に割り当てられます。セキュリティ管理者は、実行プロファイルに、UID、GID、ラベル範囲、および 1 つ以上の特権をコマンドや CDE アクションに関連付けることができます。上記セキュリティ属性などは トラステッドネットワーク データベース内のホストに割り当てられ、Trusted Solaris 分散環境における通信のセキュリティを制御するために使用されます。

セキュリティポリシー

Trusted Solaris 環境では、情報がどのようにアクセスされるかを定義する DAC、MAC、および情報ラベル付け規則を指す。顧客のサイトでは、そのサイトで処理されている情報の重要度を定義する規則であり、承認されていないアクセスから情報を保護するために使用される基準を指します。

機密ラベル

ファイル、ディレクトリ、プロセスに割り当てられるセキュリティラベル。機密ラベルは情報のセキュリティレベルを示しており、レベルに応じてアクセスを制限するために使用されます。

セッション認可上限

特定のログインセッションの間だけに効力を持つ認可上限。この種類の認可上限は、セッションを起動するときにユーザが設定します。セッション中に起動された各プロセスは、セッション認可上限と等しいプロセス認可上限を持っています。設定できるセッション認可上限はユーザ認可上限と同じかそれより低いものです。

シングルレベルディレクトリ

同じの機密ラベルのファイルだけを含む、MLD 内のディレクトリ。特定の機密ラベルで作業しているユーザが MLD に移動したとき、実際の移動先は、ユーザが作業していた機密ラベルと同じ機密ラベルを持つ、MLD 内のシングルレベルのディレクトリになります。

システム認可範囲

各サイトのセキュリティ管理者が label_encodings ファイルで定義した規則と、すべての Trusted Solaris 環境で使用される 2 つの管理ラベル ADMIN_LOW と ADMIN_HIGH に従って作成される、すべての有効な (正しい形式の) ラベルのセット。

完全な優位

任意の種類のラベル (機密ラベル、 認可上限のいずれか) が、比較対象とする別のラベルのセキュリティレベルよりも高いセキュリティレベルを持っているとき、「1 番目のラベルは 2 番目のラベルよりも完全に優位である」と言います。完全な優位とは、等しい場合がないことを意味します。つまり、1 番目のラベルの格付けが 2 番目のラベルの格付けよりも高く、1 番目のラベルが 2 番目のラベルのすべてのコンパートメントを含んでいる場合、あるいは、両方のラベルの格付けが同じであるが、1 番目のラベルが 2 番目のラベルのすべてのコンパートメントを含んでいて、さらに 1 つ以上の追加のコンパートメントを持っている場合のことです。

トラステッドストライプ

画面の下部にある、変更されない帯状の領域。この領域が表示されているときは、システムが「のぞき見」されていない安全な状態です。デフォルトでは、トラステッドパスシンボル、入力情報ラベル、ウィンドウ機密ラベルなどのウィンドウシステムの状態を示す内容が表示されます。機密ラベルまたは情報ラベルのどちらかがユーザに表示されないように構成されている場合、表示可能な種類のラベルは表示されますが、そうでない複数のラベルは表示されません。機密ラベルと情報ラベルの両方がユーザに表示されないように構成されている場合、トラステッドストライプはアイコンとして表示され、トラステッドパスシンボルだけが表示されます。

トンネリング

機密保護されたデータは、Trusted Solaris 以外のゲートウェイを含むクラスタを通るようにも経路制御できます。この手順のことを「トンネリング」と言います。クラスタとは、Trusted Solaris のホストとゲートウェイだけの連続したセットか、あるいは Trusted Solaris 以外のホストとゲートウェイだけの連続したセットのことです。エッジゲートウェイとは、クラスタと反対のタイプのクラスタを接続する (Trusted Solaris か Trusted Solaris 以外の) ゲートウェイのことです。

Trusted Solaris 以外のクラスタと Trusted Solaris のクラスタを通る経路でデータを転送するには、次の 2 つの条件が必要です。

• Trusted Solaris 以外のクラスタ中のすべてのゲートウェイは同じセキュリティ属性を持っていなければなりません。

• 考えられる経路が複数あり、その経路が同じエッジゲートウェイを通って Trusted Solaris 以外のクラスタに入り、異なるエッジゲートウェイを通ってそのクラスタから抜ける場合、これらの経路のメトリックは等しくなければなりません。

ユーザ認可範囲

通常のユーザがシステムで作業するときの可能なすべてのラベルのセット。どのラベルをユーザ許可範囲に含めるかは、各サイトのセキュリティ管理者が定義します。システム認可範囲を定義する正しい形式のラベルの規則は、サイトの label_encodings(4) ファイルの ACCREDITATION RANGE セクションに指定された値、つまり、上限、下限、組み合わせなどによってさらに制限されます。

ユーザ認可上限

セキュリティ管理者によって割り当てられる、ユーザ作業できるラベルの上限を設定する認可上限。ユーザは、ログイン後のセッション認可上限を設定するときに、このユーザ許可制限をそのまま使用するか、あるいはさらに低いラベルに設定するかを決定できます。

Solaris と Trusted Solaris の相違点

スーパーユーザの責任と特権は複数の管理役割に分割されました。Trusted Solaris 環境用に変更されていないマニュアルページにおいて、あるコマンドまたはオプションを実行するためにスーパーユーザが必要であると述べている場合、その代わりに 1 つ以上の特権が必要であることを覚えておいてください。

アクセス制限の適用を免れ特別なコマンドを実行し、他のユーザは利用できないコマンドオプションを使用するという UNIX のスーパーユーザの能力は、プロファイルメカニズムによって置き換えられました。このメカニズムでは、セキュリティ管理者が、実行プロファイルを使用して、さまざまなユーザに異なるコマンドのセットを割り当て、異なる特権をコマンドに割り当てます。あるコマンドまたはコマンドのオプションが成功するために特権が必要であるとき、その特権は必須特権です。この必須特権をセキュリティ管理者がユーザの実行プロファイルでコマンドに与えていない場合、そのコマンドは動作しません。必須特権は、マニュアルページの次のような文章において「しなければなりません」という表現で示されています。ifconfig(1M) コマンドは、 ネットワークインターフェースを変更するために、 "required privilege""privilege, required" sys_net_config特権を持っていなければなりません。

また、コマンドがセキュリティポリシー内で動作するように設計されているのに、DAC または MAC チェックに通過しなかったために、そのコマンドが失敗した場合、セキュリティ管理者は、その自由裁量によって、無効化特権を割り当てることができます。マニュアルページでは、アクセス制限を無効にするために使用できる特権の名前は「エラー」節にあります。次に、ファイルまたはディレクトリの DAC または MAC の制限が適用されないようにするための無効化特権を示します。

DAC 無効化特権は file_dac_read と file_dac_write です。ユーザが DAC アクセス権をファイルに持っていない場合、セキュリティ管理者は、読み取り権または書き込み権、またはその両方が希望されているのかどうかによって、これらの特権の 1 つまたは両方をコマンドに割り当てることができます。MAC 無効化特権は file_mac_read と file_mac_write です。ユーザが MAC アクセス権をファイルに持っていない場合、セキュリティ管理者は、読み取り権または書き込み権、またはその両方が希望されているのかどうかによって、これらの特権の 1 つまたは両方をコマンドに割り当てることができます。

無効化特権を割り当てる以外の方法でも、DAC または MAC 制限を回避できます。たとえば、セキュリティ管理者は、特権の使用を避けるために、そのコマンドが別のユーザ ID (通常はルート ID の 0) またはグループ ID で実行されるように指定できます。このようにすると、ファイルまたはディレクトリへのアクセスはその ID アクセス権や ACL に基づいて判断されるため、そのコマンドの実行が許可されます。

Trusted Solars での変更点

Trusted Solaris システムでは、コマンドが期待どおりに動作しないことがあります。これは、Trusted Solaris の管理者が、各ユーザがコマンドにアクセスできる条件を制限したり、あるユーザからのコマンドのアクセスを制限できるためです。

Trusted Solaris 7 は、情報ラベル (IL) を使用しません。

リファレンスマニュアル AnswerBook には、Trusted Solaris の内容を含むマニュアルページしか含まれていません。ただし、オンライン版のマニュアルページには、ベースとなる製品と Trusted Solaris の両方のマニュアルページが含まれており、 man コマンドと AnswerBook2^TM で表示できます。

ユーザの代わりに動作しているプロセスがファイルまたはディレクトリにアクセスしようとするときに実行される通常の UNIX DAC チェックの他に、必須アクセスチェックも通過しなければなりません。考えられるさまざまなアクセスの失敗に対して、セキュリティ管理者は、その自由裁量によって、特定の無効化特権をコマンドに割り当てることができます。

---

注 -

変更されたマニュアルページに「Trusted Solaris における変更の要約」の項がある場合、そこには、主な変更。詳細については、「Trusted Solaris における変更の要約」だけでなく、マニュアルページ全体をお読みください。

---

属性

このセクション中にリストされている属性については attributes(5) のマニュアルページを参照してください。

関連項目

関連項目セクションの Trusted Solaris 7 リファレンスマニュアル ヘッダーにリストされているコマンドは、Trusted Solaris 環境で変更または追加されたコマンドです。関連項目セクションの SunOS 5.7 リファレンスマニュアル ヘッダーにリストされているコマンドは、Trusted Solaris 環境で変更されていないコマンドです。印刷版マニュアルを使用している場合、Trusted Solaris 環境で変更されていないコマンドについては、SunOS 5.7 リファレンスマニュアルを参照してください。

Trusted Solaris 7 リファレンスマニュアル

上記のタイトルの下には、 Trusted Solaris 用の関連項目を示します。以下はその例です。

Trusted Solaris のユーザー用のマニュアル、『Trusted Solaris 管理の概要』、および 『Trusted Solaris 管理の手順 』。

SunOS 5.7 リファレンスマニュアル

上記のタイトルの下には、Trusted Solaris 環境では変更されていない SunOS 5.7 および Solaris 7 の関連項目を示します。以下はその例です。

getopts(1), wait(1), exit(2), getopt(3C), wait(3B), attributes(5)

『Source Compatibility Guide』

診断

adornfc(1) 最後の構成要素を修飾して、パス名を表示終了時、すべてのコマンドは状態を表す 2 バイトを返します。1 つは、システムから提供され、終了の原因を示します。もう 1 つ（正常な終了において）は、プログラムから提供されます (wait(3B) および exit(2) を参照)。前のバイトが 0 の場合、正常な終了を表します。後のバイトが 0 の場合、正常な実行を表します。後のバイトがゼロでない場合、 間違った引数を指定した、または不良で受け入れることができないデータを指定したなどの障害を示します。このバイトは、「終了コード」、「終了状態」、「リターンコード」などさまざまな呼ばれ方をします。そして、特別な使い方がある場合に限って説明されます。

警告

ヌル文字を含むファイルを処理しているときに、予測していなかった結果を出すコマンドがあります。通常、このようなコマンドはテキスト入力行を文字列として扱っているので、行中のヌル文字（つまり文字列の終端）に出合うと混乱してしまうのです。

名前 | 機能説明 | 定義 | Solaris と Trusted Solaris の相違点 | Trusted Solars での変更点 | 属性 | 関連項目 | 診断 | 警告