管理ラベル

Trusted Solaris には、「ADMIN_HIGH」と「ADMIN_LOW」の 2 種類の特別な管理ラベルが提供されており、これらを機密ラベル、情報ラベル、認可上限として使用します (label_encodings ファイルでリネーム可能)。この 2 種類のラベルは管理者用で、通常のユーザーが使用することはできません。

「ADMIN_HIGH」は、システム内の最上位のラベルで、管理データベースや監査トレールなどのシステムデータが読み取られないよう保護するためのものです。現在の機密ラベルで ADMIN_HIGH のラベルのデータを読み取るには、作業を ADMIN_HIGH (一般に管理役割に設定) に切り替えるか、上位読み取り用の特権が必要になります。

「ADMIN_LOW」は、システム内の最下位のラベルです。必須アクセス制御により、ユーザーは、サブジェクトの機密ラベルよりも低い機密ラベルのファイルにはデータを書き込めません。したがって、最下位の機密ラベルである ADMIN_LOW をファイルに適用すれば、一般ユーザーは、そのファイルを読み取ることしかできなくなります。ADMIN_LOW は、通常、公共の実行可能ファイルと構成ファイルが変更されないように保護する目的で使用されます。ADMIN_LOW で作業しているユーザーと下位書き込み用の特権を持ったユーザーだけが、このラベルを持つファイルに書き込むことができます。