セキュリティ管理者役割は、sendmail の設定ファイルである sendmail.cf に、Trusted Solaris に特有の機密性オプションとして、自サイトのセキュリティポリシーに合った値が設定されていることを確認する必要があります。詳細は、sendmail(1M) のマニュアルページの「Trusted Solaris での変更点」セクションを参照してください。以下の節ではこれらのオプションについて説明します。
受信者の最下位機密ラベルよりも低い機密ラベルのメールを受信した場合に sendmail が実行する処理には 2 つの種類を指定することができます。sendmail の設定ファイル内に「-Optsol...」機密性オプションを設定することで、メールが ADMIN_LOW
ラベルを持つかそれとも受信者の最下位機密ラベルよりも低い他のラベルを持つかに応じて、どのような処理を実行するかを指定できます。ADMIN_LOW
ラベルのメールは他のラベルのメールとは違った扱いを受けます。これは、ADMIN_LOW
ラベルのメールは常にシステムプロセスから特定のアカウント (通常は、管理役割アカウント) へと送信されるものであり、同アカウントはそのメールを読む必要があるからです。一方、ユーザー認可範囲内の特定のラベル (CONFIDENTIAL や INTERNAL USE ONLY など) を持つことを許可されたユーザーの場合、その最下位ラベルが SECRET または NEED TO KNOW であるようなユーザーにメールを送れるようにする必要はおそらくないでしょう。
このようなオプションを使用するかどうかは、各サイトのセキュリティポリシーに任されています。/etc/mail/sendmail.cf のデフォルト設定では、ADMIN_LOW
ラベルで送信されたメールは自動的に昇格されますが、受信者の最下位ラベルよりも低いラベルを持つメールは送信者に戻されるようになっています。
上記の処理を行うために、-tsoladminlow という接頭辞を持つ互いに排他的な 3 つのオプションと、-tsolotherlow という接頭辞を持つ互いに排他的な 3 つのオプションが提供されています。これらはいずれも同じ接頭辞を持つ 3 つのうちのどれか 1 つだけを指定するタイプのオプションです。各オプション名には、ADMIN_LOW
ラベルのメールを受け取った時に sendmail が実行する処理、または受信者の最下位機密ラベルよりも低いその他の機密ラベルのメールを受け取った時に sendmail が実行する処理の名前が含まれています。-upgrade は受信者の最下位機密ラベルでそのメッセージを配送することを意味します。-accept はそのメッセージ自身が持つ機密ラベルでメッセージを配送することを意味します。-return はそのメッセージを送信者に戻すことを意味します。
オプション名 |
意味 |
---|---|
-tsoladminlowupgrade |
デフォルトの設定。 |
-tsoladminlowaccept |
|
-tsoladminlowreturn |
|
-tsolotherlowupgrade |
受信者の最下位 SL よりも低い SL で受け取ったメールを受信者の最下位 SL まで昇格する。このメールは sendmail によりアップグレードされるため、これを受け取るユーザーに「すべての定義済みラベルを使用」承認は必要ない。 |
-tsolotherlowaccept |
受信者の最下位 SL よりも低い SL のメールを受け入れ配送する。ユーザーの実行プロファイルに「すべての定義済みラベルを使用」承認が存在する場合にのみ、そのユーザーはこのメールを昇格し、読むことができる。 |
-tsolotherrlowreturn |
デフォルトの設定。受信者の最下位 SL よりも低い SL のメールを送信者に戻す。 |
セキュリティ管理者役割になり、ADMIN_LOW
ワークスペースに移動します。
必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。
「メール・オプションの設定 (Set Mail Options)」アクションを使用して sendmail.cf ファイルを開き、編集を行います。
必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。
「-Optsol」で始まる行を検索し、2 つのデフォルト設定を変更します。
tsol 機密性オプションの名前と意味については、表 6-1を参照してください。
# TSOL actions for mail received below recipient min label # options are: # tsoladminlowupgrade - upgrade to user min label (default) # tsoladminlowaccept - accept at delivered label # tsoladminlowreturn - return to sender # tsolotherlowupgrade - upgrade to user min label # tsolotherlowaccept - accept at delivered label # tsolotherlowreturn - return to sender (default) Optsoladminlowupgrade Optsolotherlowreturn |