特権の必要な操作

プロセスやファイルシステムオブジェクトの CMW ラベルの取得と設定を行うシステムコールは、プロセスやファイルシステムオブジェクトに対する必須アクセス権と任意アクセス権を必要とします。また、アクセスがシステムセキュリティポリシーにより拒否される場合は、特権が必要になります。システムコールの一覧は、「システムコール」を参照してください。

バイナリラベルの変換

呼び出し元のプロセスは、バイナリと ASCII 間でラベルを変換するときに、プロセスの機密ラベルが変換されるラベルより優位でないときは、有効セット内に sys_trans_label 特権を必要とします。この特権は、プロセスの機密ラベルが検査されるラベルより優位でない場合に、ラベルが有効であるかどうかを検査する場合にも必要になります。

プロセスラベルの設定

呼び出し元プロセス自体の機密ラベルを現在とは異なるラベルに変更したいとき、呼び出しプロセスの有効セット内に proc_setsl 特権が必要となります。

機密ラベルの降格と昇格

呼び出し元プロセス自体が所有していないファイルの機密ラベルを降格する場合、呼び出し元プロセスの有効セット内に file_owner 特権が必要となります。

機密ラベルの降格

プロセスは、その有効セット内の file_downgrade_sl 特権を使用して、ファイルシステムオブジェクトの機密ラベルを、オブジェクトの現在の機密ラベルよりも優位でない機密ラベルに設定できます。

機密ラベルの昇格

プロセスは、その有効セット内の file_upgrade_sl 特権を使用して、ファイルシステムオブジェクトの機密ラベルを、オブジェクトの現在の機密ラベルより優位な機密ラベルに設定できます。