デバイス clean スクリプト
デバイス clean スクリプトは、次の 2 つのセキュリティ条件に対応した特別なスクリプトです。
-
メディアのラベル付け - 取り外しの可能な情報記憶媒体に、機密ラベルと情報ラベルを示す物理ラベルを付ける。取り外し可能な記憶媒体にラベルを付ける責任は最終的にはユーザーに委ねられています。デバイス clean スクリプトを実行すると、ユーザーにラベル付けを行うよう促すメッセージが画面に表示されます。
特定のデバイスで実行するデバイス clean スクリプト名は、そのデバイスのエントリとともに device_allocate(4) ファイルに格納されます。デバイス clean プログラムの動作はデバイスごとに異なります。
デバイス clean プログラムは次の処理を実行します。
-
媒体を取り外す - 取り外し可能な媒体に情報を格納しているデバイスは、割り当て解除や再割り当ての際に強制的にその媒体を取り外さなくてはならない。この処置により、機密ラベルの異なるユーザーが同じデバイスを使用する場合にも、情報が流出する恐れはなくなる
-
デバイスの状態をリセットする - 状態情報を保持するデバイスは、ユーザーに秘密チャネルとして悪用される恐れがある。したがって、デバイスの割り当て解除の際に、ドライバの状態情報をデフォルト値にリセットしておく必要がある
-
媒体へのラベル付けを促す - 取り外し可能な媒体には、適切な外部媒体のラベルを付ける必要がある。デバイスが持つユーザーの機密ラベルと情報ラベルは、そのデバイスの起動時に clean プログラムに渡される (インタフェースの詳細については、device_clean(1M) のマニュアルページを参照)
割り当て可能なデバイスすべてにデバイス clean プログラムが要求されるわけではありません。状態情報を保持しておらず、取り外し可能な媒体を使用していないデバイスにはデバイス clean プログラムは必要ありません。
Trusted Solaris では、テープ、フロッピーディスク、CD-ROM、オーディオデバイス用のデバイス clean プログラムを用意しています。また、ユーザーデバイス割り当て機構は構成可能です。管理者は新しいデバイスをインストールした後、デバイス clean プログラムを独自に構成することができます。
- © 2010, Oracle Corporation and/or its affiliates