この章では、Trusted Solaris 環境の簡単なツアーにご案内します。Trusted Solaris システムにアクセスできる場合は、この章の記述どおりに手順を実行できます。また、内容や図を読み進むことによって、Trusted Solaris 環境への理解を深めることができます。操作例に使用するユーザーアカウントは、マルチラベルの操作が許可されており、機密ラベルを表示するように設定されています。この章で扱うツアーは次のとおりです。
標準の Solaris CDE 環境と同様、システムがユーザーのログインを待っているときには、ユーザー名入力ダイアログボックスが表示されています (次の図を参照)。システムにアクセスするには、ユーザー名とパスワードを入力してユーザーを認証させる必要があります。
ユーザー名入力ダイアログボックスで、テキストフィールドにユーザー名を入力し、「了解 (OK)」をクリックします。
パスワード入力ダイアログボックスが表示されます (次の図を参照)。
パスワード入力ダイアログボックスで、テキストフィールドにパスワードを入力し、「了解 (OK)」をクリックします。
「本日のメッセージ (Message of the Day)」ダイアログボックス (図 3-3) が表示されます。
ワークステーション情報のダイアログボックス (次の図) には、最後のログイン日時、その日の管理者からのメッセージ、セキュリティ違反の可能性を調査するためのコンソールメッセージが表示されます。さらに、このダイアログでは、シングルレベルとマルチレベルのどちらかのセッションも指定します。
最後に行われたログインの日時、「本日のメッセージ (Message of the Day)」フィールド、およびコンソールメッセージを確認します。
この手続きは、セキュリティ上の問題を防ぐために必ず実行してください。
「シングルラベルにセッションを制限 (Restrict Session to a Single Label)」ボタンが押されていないことを確認し、「了解 (OK)」をクリックします。
このボタンは、シングルレベルとマルチレベルのどちらのセッションが選択されているかを示します。「了解 (OK)」をクリックすると、現在選択されている種類のセッションが設定され、「本日のメッセージ (Message of the Day)」ダイアログボックスがセッション認可上限ビルダーダイアログボックスに変わります。
アカウントが単一の機密ラベル操作に設定されている場合は、マルチレベルセッションを実行したり、セッション認可上限ビルダーダイアログボックスを表示することはできません。この場合は、手順 1 から 手順 1 までを実行してください。
セッション認可上限ビルダーダイアログボックス (次の図) は、標準のラベルビルダーダイアログボックスの 1 つです。ラベルビルダーダイアログボックスは、Trusted Solaris 環境で認可上限、機密ラベルのいずれかを入力しなければならないときに必ず表示されます。それぞれのラベルビルダーダイアログボックスには、直前の選択操作に応じたラベルの組み合わせが表示され、選択した値のフィールドには、デフォルト値が表示されます。
このツアーではマルチレベルセッションの動作も説明しなければならないため、ここでは、最下位の機密ラベルよりも上位のセッション認可上限を設定します。
画面例には、格付けの選択領域に「CLASS」という文字が、コンパートメントの選択領域に「COMPS」という文字が表示されていますが、これらのタグは、システムの設定によって異なります。
選択した値のフィールドに表示されているデフォルトのセッション認可上限を使用するには、「了解 (OK)」をクリックするか、Enter キーまたは Return キーを押して、Trusted Solaris 環境の画面に戻ります。その後、「ツアー : Trusted Solaris の基本環境を探検する」 に進みます。
デフォルト以外のセッション認可上限を設定する場合は、手順 1 に進みます。
格付けの選択領域で、指定したい格付けをクリックします。
コンパートメントの選択領域で、指定したいコンパートメントがあれば、それをクリックします。
「認可上限 (Clearance)」フィールドで、選択したセッション認可上限を確認します。正しければ、「了解 (OK)」ボタンをクリックするか、Enter キーを押します。別のセッション認可上限に設定し直す場合は、手順 2 に戻ります。
セッション認可上限ビルダーのダイアログボックスを閉じると、Trusted Solaris 環境の画面に戻ります。
このツアーでは、アプリケーションが何も実行されておらず、ウィンドウも表示されていない Trusted Solaris 環境の基本要素を調べていきます。例で扱う環境は、機密ラベルを表示するように設定されています。
Trusted Solaris 環境を確認します。
Trusted Solaris の画面の下部には、常にトラステッドストライプが表示されます。さらに、トラステッドコンピューティングベースと対話中であれば、トラステッドパスシンボルも表示されます (上の図では、フロントパネルにポインタが置かれており、フロントパネルにはトラステッドコンピューティングベースと対話可能なアプリケーションが含まれているため、トラステッドパスシンボルが表示されています)。画面をロックした場合を除き、ウィンドウ環境にトラステッドストライプが表示されていない場合は、ただちに Trusted Solaris 管理者に報告してください。システムに重大な問題が発生しています。
トラステッドストライプはさまざまな方法で設定できます。詳細については、「Trusted Solaris 環境のラベル表示」を参照してください。
トラステッドストライプ (図 3-5 を参照) には、設定に応じて次の 2 つの要素が表示されます。
トラステッドパスシンボル - セキュリティに関連する処理を実行すると表示される。
「ウィンドウ SL (Window SL)」表示 - アクティブウィンドウ (ポインタが置かれているウィンドウ) の機密ラベルを表示します。前の図の場合、このワークスペースの初期の「ウィンドウ SL (Window SL)」として「CONFIDENTIAL A B」が表示されています。この値は、このユーザーに設定されている最下位の機密ラベルを示しています。「ウィンドウ SL (Window SL)」インジケータは任意表示なので、設定によっては表示されない場合もあります。
「ウィンドウ SL (Window SL)」の表示は任意なので、サイトによっては表示されないよう設定されている場合もあります。
ワークスペースのスイッチ領域中でスイッチボタン以外の場所にポインタを置き、マウスの右ボタンを押します。
基本のトラステッドパスメニューが表示されます。
トラステッドパスメニューは、主に一般的なセキュリティ関連の処理を実行する場合に使用します。トラステッドパスメニューを表示する、あるいはトラステッドストライプまたはフロントパネル上にマウスポインタを置くと、トラステッドパスシンボルが表示されることを確認してください。
「ワークスペース 3 (Three)」ボタンにポインタを置き、マウスの右ボタンを押します。
ワークスペース用のトラステッドパスメニューが表示されます。このメニューには、そのワークスペースで実行可能な操作のオプションが含まれます。メニューに表示されるオプションは、ユーザーアカウントの設定によって異なります。
Trusted Solaris 環境のすべてのアプリケーションには機密ラベルが設定されています。アプリケーションはデータトランザクションの中の「サブジェクト」であり、アクセス先の「オブジェクト」 (通常はファイル) よりも優位である (同等以上の機密ラベルを持つ) 必要があります。アプリケーションのラベル情報は、ウィンドウが開いているときも、アイコン化された状態のときも、ウィンドウのラベルストライプに表示されます。また、ウィンドウ内にポインタが置かれたときは、トラステッドストライプにも表示されます。
フロントパネルのテキストエディタのアイコンをクリックし、テキストエディタを起動します。
この例を見ると、テキストエディタの機密ラベルは「CONFIDENTIAL A B」になっています。このワークスペースで実行されるアプリケーションは、グラフィカルインタフェースとシェルウィンドウのどちらから起動しても、すべて同じ機密ラベルになります。この場合はトラステッドコンピューティングベースにアクセスしていないため、トラステッドストライプにはトラステッドパスシンボルが表示されません。
テキストエディタに適当なテキストを入力し、「ファイル (File)」メニューの「保存 (Save)」オプションを選択してファイルを保存します (例では textfile.1 というファイルを表示しています)。
Trusted Solaris のセッションでファイルを作成すると、そのファイルは、ファイルを作成したアプリケーションの機密ラベルを継承します。この例の場合、「CONFIDENTIAL A B」 が継承されます。
Trusted Solaris 環境のデータトランザクションでは、ファイルはオブジェクトとして扱われます。ファイルにアクセスできるのは、そのファイルよりも優位な機密ラベルを持つアプリケーションだけです。また、ファイルを表示できるのは、同じ機密ラベルのワークスペースまたはファイルマネージャに限られます。
ファイルマネージャのアイコンをクリックし、ファイルマネージャを起動します。
ファイルマネージャはアプリケーションの 1 つで、現在のワークスペースと同じ機密ラベルで起動されます。ファイルマネージャからアクセスできるファイルは、同じ機密ラベルのものだけです。
「機密ラベルに応じてファイルを個別ディレクトリに格納する」で説明したように、Trusted Solaris 環境には、シングルレベルディレクトリ (SLD) とマルチレベルディレクトリ (MLD) があり、ファイルやディレクトリを機密ラベルごとに別々に格納するようになっています。マルチレベルディレクトリ内のファイルを表示またはアクセスしようとすると、その操作は常に、現在の機密ラベルを持つシングルレベルディレクトリのファイルだけに制限されます。次の図は、この例で使用されているホームディレクトリ中のファイル textfile.1 を示しています。括弧内は、そのディレクトリの機密ラベルを省略形で示したものです。
Trusted Solaris 環境では、同一セッション中で安全かつ簡単に複数の異なる機密ラベルで作業することができます。そうするには、使用可能なワークスペースボタンのうち、任意のボタンの機密ラベルを作業したい機密ラベルに変更し、次にそのボタンをクリックして、新しい機密ラベルのワークスペースに移ります。
別のワークスペースのスイッチボタンにポインタを置いてマウスの右ボタンを押し、トラステッドパスメニューを表示して「ワークスペース SL を変更 (Change Workspace SL)」を選択します。
新たにワークスペースの機密ラベルを設定するためのラベルビルダーが表示されます (次の図を参照)。トラステッドパスメニューを表示すると、トラステッドパスシンボルが再び画面に現れます。
異なる機密ラベルを入力し、ワークスペースに適用します。
格付けの選択領域から格付けを選択し、コンパートメントの選択領域からコンパートメントを 1 つ以上選択して、「了解 (OK)」をクリックします。
ワークスペースの機密ラベルビルダーダイアログボックスで「了解 (OK)」をクリックするか、または Enter キーを押すと、環境が新しいワークスペースに切り替わります (次の図を参照)。新しいワークスペースには今までと違う背景が表示され、トラステッドストライプにも新しい機密ラベルが表示されます。また、システムに機密ラベル別のカラーコードが設定されている場合は、その機密ラベルの色が、ワークスペースのスイッチボタン、「ウィンドウ SL (Window SL)」表示、ラベルストライプにも表示されます。
異なる機密ラベルのワークスペースで作業する際に注意すべき大きな違いは、アクセスできるファイルも変わるということです。今まで作業していたワークスペースのファイルには、もう直接アクセスすることはできません。
ファイルマネージャのアイコンをクリックし、ホームディレクトリの内容を表示します。
この機密ラベルでは、前に作成したファイル (例では textfile.1) は表示できません。次の図に示すように、以前の機密ラベルで作成されたファイルは、新しい機密ラベルのワークスペースでは表示されません。
テキストエディタを使用して新しいファイル (例では textfile.2) を作成します。
新しいテキストファイルは、「SECRET A B」という機密ラベルになります。
ファイルマネージャを使用して、現在のホームディレクトリの内容を表示します。
機密ラベル「SECRET A B」で作成された新しいファイル (textFile.2) は表示されますが、「CONFIDENTIAL」で作成されたファイル (textFile.1) は表示されません。
ある機密ラベルで実行中のアプリケーションを、別の機密ラベルのワークスペースに移動しなければならない場合があります。このような場合は、別の機密ラベルのワークスペースを開き、ウィンドウメニューの「配置するワークスペース (Occupy Workspace)」または「すべてのワークスペースに配置 (Occupy All Workspace)」コマンドを選択して、ウィンドウを別のワークスペースに移動します。
「配置するワークスペース (Occupy Workspace)」コマンドでは、一般ユーザーのワークスペースから管理役割用のワークスペースにウィンドウを移動することはできません。
ファイルマネージャのウィンドウメニューから、「配置するワークスペース (Occupy Workspace)」を選択します (次の図を参照)。
「配置するワークスペース (Occupy Workspace)」ダイアログボックスが表示されます (次の図を参照)。
ツアーの最初に使用したワークスペースを選択し、「了解 (OK)」をクリックします。
現在の機密ラベル [S A B] で実行されていたファイルマネージャが、機密ラベル [C] と設定された以前のワークスペースに移動します。ポインタを「配置するワークスペース (Occupy Workspace)」ダイアログボックスに置くと、トラステッドパスシンボルが再び表示されます。これは、ワークスペースへの配置操作が、トラステッドコンピューティングベースに影響する可能性があるからです。
テキストエディタウィンドウに対して、手順 1 と 手順 2 を繰り返します。
現在のファイルを表示したテキストエディタウィンドウが、以前のワークスペースに移動します。
「ワークスペース 1 (One)」のスイッチボタンをクリックし、以前のワークスペースに戻ります。
画面には次の 4 つのウィンドウを表示できます。「ワークスペース 1 (One)」ボタンからは、「CONFIDENTIAL A B」で実行されているテキストエディタとファイルマネージャを「ワークスペース 2 (Two)」からは、「SECRET A B」で実行されているテキストエディタとファイルマネージャを表示できます。
標準の Solaris と同様に、Trusted Solaris 環境でもウィンドウ間でデータを移動することができます。異なるラベルや UID を持つウィンドウ間で情報を転送しようとすると、その情報のラベルが昇格または降格される可能性があります。このような転送がサイトのセキュリティポリシーで許可されており、かつユーザーアカウントも承認されている場合は、このトランザクションを確認するダイアログボックスが表示されます。それ以外の場合の転送は行えません。
ウィンドウ間のデータの移動には、次の 2 つの方法があります。1 つは、マウスの左ボタンでデータを選択してコピーし、マウスの中ボタンでそのデータをペーストする方法です。2 つ目は、メニューコマンド、ショートカットキー、ファンクションキーのいずれかを使用してコピーとペーストを行う方法です。異なるワークスペース間でのデータの移動も可能ですが、両方のウィンドウが同じワークスペースに配置されている方がはるかに簡単にできます。ドラッグ&ドロップは、ラベルの異なるウィンドウ間では実行できません。
ファイルマネージャウィンドウをいったんアイコン化します。
この段階では次の図に示すように、2 つのテキストエディタウィンドウが表示されています。
「CONFIDENTIAL A B」のテキストエディタウィンドウでテキストを強調表示してから、「SECRET A B」のテキストエディタウィンドウでマウスの中ボタンをクリックし、データをペーストします。
このトランザクションが完了すると、転送されたデータの機密ラベルが昇格します。転送が実行される前に、次の図に示すような選択マネージャの確認ダイアログボックスが表示されます。
選択マネージャの確認ダイアログボックスには、次の領域が表示されます。
トランザクション情報領域 - トランザクションの確認が必要な理由を表示。
ソースファイル情報領域 - 機密ラベルと、ソースファイルの所有者を表示。
宛先ファイル情報領域 - 宛先ファイルの機密ラベル、所有者を表示。
選択データ領域 - 転送用に選択されたデータの種類、宛先ファイルの種類、データのサイズ (バイト単位) を表示。選択データの情報は、スクロールバーの付いたフィールドにテキストまたは 16 進法で表示できます。「なし (None)」を選択すれば、非表示にすることも可能です。
タイマーフィールド - トランザクションが完了するまでの残時間を示す。設定時間とタイマーの使用法は、サイトの設定に依存します。
「了解 (OK)」をクリックして、「CONFIDENTIAL A B」のテキストエディタウィンドウから「SECRET A B」のテキストエディタウィンドウへのデータの転送を完了します。
これで、転送されたデータは、ラベル「SECRET A B」のテキストエディタに格納されたことになります。トランザクションを中断したい場合は、「了解 (OK)」の代わりに「取り消し (Cancel)」ボタンをクリックします。
Trusted Solaris 環境では、正規の承認を持ち、マルチレベルセッションでの作業が許可されているユーザーであれば、ファイルの機密ラベルを変更することができます。ファイルを異なるワークスペースで使用できるようにするには、ファイルが使用中でないことを確認してから、異なる機密ラベルを持つ移動元のファイルマネージャと宛先のファイルマネージャを両方とも同じワークスペースに表示します。その後、次のようにドラッグ&ドロップを行います。
ファイルのコピー - ファイルをコピーするには、マウスの左ボタンと Control キーを押したまま、一方のファイルマネージャから他方のファイルマネージャにファイルをドラッグします。これにより、2 つ目のファイルマネージャに、そのファイルの新しいコピーが作成されます。ファイルのコピーは、別の機密ラベルで同じ名前のファイルが必要なときに便利です。たとえば、特定の名前のファイルに書き込みを行うアプリケーションがあるときに、そのファイルの別のコピーを保持する必要がある場合などに使用します。
ファイルの移動 - ファイルを移動するには、マウスの左ボタンを押したまま、元のファイルマネージャから宛先のファイルマネージャにファイルをドラッグします。これにより、ファイルは、宛先のファイルマネージャにだけ存在することになります。ファイルの移動は、ファイルの機密ラベルの変更が必要な場合に便利です。
ファイルのリンク - ファイルをリンクするには、Control キー、 Shift キー、マウスの左ボタンをすべて押したまま、リンク元のファイルマネージャから宛先のファイルマネージャにファイルをドラッグします。これにより、ファイルはどちらのファイルマネージャにも存在することになりますが、機密ラベルはリンク元のファイルマネージャのものが適用されます。一般に、リンクは下位のラベルから上位のラベルに対し行わなければなりません。上位ラベルのプロセスは、下位ラベルのファイルの読み取りはできても、書き込みはできません。ファイルのリンクは、(たとえば .dtprofile や .login ファイル) 異なるワークスペースから同じファイルにアクセスしなければならない場合に便利です。なお、このファイルを変更するには、リンク元となったファイルと同じ機密ラベルで操作する必要があります。
テキストエディタウィンドウを両方とも閉じ、ファイルマネージャウィンドウを開きます。
ファイルの機密ラベルを変更する場合は、そのファイルを閉じておく必要があります。これは習慣にしてください。この時点で、ワークスペースは次の図のように表示されます。
「SECRET A B」のファイルマネージャウィンドウで textfile.2 を選択します。このファイルを 「CONFIDENTIAL A B」のファイルマネージャにドラッグし、ドロップします。
ファイルマネージャの確認ダイアログボックスが表示されます (次の図を参照)。
システムの設定で、機密ラベルの昇格または降格が許可されていない場合は、転送が承認されていないことを示すダイアログボックスが表示されます。
このダイアログボックスは、選択マネージャの確認ダイアログボックスと似ていますが、次の領域はこのダイアログボックスにだけ表示されます。
ウィンドウストライプ - 宛先のファイルマネージャと転送されたデータとを比較し、優位な方の機密ラベルを表示 (選択マネージャの確認ダイアログボックスには、ウィンドウストライプは表示されない)
トランザクション情報領域 - トランザクションの確認が必要な理由を表示
元のファイル情報領域 - 元のファイルのパス、ラベル情報、所有者を表示。(選択マネージャでは元のファイルは表示されない)
宛先ファイル情報領域 - 宛先ファイルのパス、CMW ラベル、所有者を表示 (選択マネージャでは宛先ファイルは表示されない)
ファイルマネージャの確認ダイアログボックスでは、元のファイルや宛先ファイルのパスにシングルレベルディレクトリの名前は表示されません。しかし実際には、ファイルは、元のファイルと同じ機密ラベルのシングルレベルディレクトリから、宛先ファイルと同じ機密ラベルのシングルレベルディレクトリに移動します。
選択データ領域 - 機密ラベルを変更するために選択したファイルの種類、表示形式、サイズ (バイト単位) を表示。ファイルのデータは、スクロールバーの付いたフィールドにテキストまたは 16 進法で表示できます。また、「なし (None)」を選択すれば、データを非表示にすることも可能です。「表示形式 (View As)」メニューの選択内容を変更した場合は、次の転送データの表示に反映されます。判読不能なデータが含まれるファイルを選択した場合などに、「なし (None)」を選択すると便利です。
ファイルマネージャの確認ダイアログボックスで、「適用 (Apply)」ボタンをクリックして選択内容を確認し、ダイアログボックスを閉じます。
標準ツアーはこれで終了です。Trusted Solaris 環境の各機能の詳細については、第 4 章「Trusted Solaris 環境の要素」を参照してください。