必須アクセスポリシー

Trusted Solaris 7 は、必須検索、読み取り、および書き込み操作をサポートしています。プロセスの機密ラベルと認可上限を、そのプロセスがアクセスしようとしているオブジェクトの機密ラベルと比較することにより、MAC が実施されます。オブジェクトに課された MAC ポリシーと比較の結果により、アクセスが認められるか拒否されるかが決定します。

比較の結果、一方が他方に対し優位であるか同等であるかが示され、プロセスの機密ラベルとオブジェクトの機密ラベルの関係が明らかになります。優位と同等の関係の詳細は、第 5 章「ラベル」を参照してください。次に概要を示します。

• 優位 - label_encodings(4) ファイルで定義されているように、格付け階層で高い位置または同じ位置にある

• 同等 - 階層で同じ位置にある

比較結果は、プロセス認可上限とオブジェクトの機密ラベル間の関係も、優位または同等のいずれかで示します。アクセス操作がオブジェクトの CMW ラベルを変更する場合は、認可上限は機密ラベル部を変更できる最高のレベルに設定します。アクセス操作が上位書き込み (「書き込みアクセス」の項を参照) の場合は、認可上限はプロセスが書き込める最高のレベルに設定します。

Trusted Solaris 7 は、次に示すような、特権を持たないプロセスと、そのプロセスがアクセスするオブジェクト間における必須アクセス制御に基づいた読み取りと書き込み操作をサポートします。オブジェクトに対するこれらの操作の適用の詳細は、「ポリシーの運用」を参照してください。

読み取りアクセス

Trusted Solaris 7 の必須読み取りアクセスの定義には、同位読み取りと下位読み取りがあります。

• 同位読み取り - 特権のないプロセスは、プロセスの機密ラベルがオブジェクトの機密ラベルと同等の場合にのみ、オブジェクトから読み取りできる

• 下位読み取り - 特権のないプロセスは、プロセスの機密ラベルがオブジェクトの機密ラベルよりも優位で、かつ、これらのラベルが同等でない場合にのみ、低い機密ラベルのオブジェクトから読み取りできる

書き込みアクセス

Trusted Solaris 7 の必須書き込みアクセスの定義には、同位書き込みと上位書き込みがあります。

• 同位書き込み - 特権のないプロセスは、プロセスの機密ラベルがオブジェクトの機密ラベルと同等の場合にのみ、オブジェクトに書き込める

• 上位書き込み - 特権のないプロセスは、オブジェクトの機密ラベルがプロセスの機密ラベルよりも優位で、かつ、これらのラベルが同等でない場合にのみ、高い機密ラベルのオブジェクトに書き込める