Trusted Solaris システムでサポートされるファイルシステムの特徴は、属性を変更できるファイルシステムと変更できないファイルシステムがあることです。属性が変更可能な場合、それらのファイルシステムは、可変属性ファイルシステム、または可変ファイルシステムと呼ばれます。たとえば、マウントされた可変ファイルシステムにおける機密ラベルは、承認されたユーザーによって変更することができます。
Trusted Solaris 拡張セキュリティ属性をサポートしていないファイルシステムは、(マウント時、あるいはデフォルトで) 割り当てられた属性の変更ができないため、固定ファイルシステムと呼ばれます。たとえば、マウントされている固定属性のファイルシステムに指定された機密ラベルは、オブジェクトが固定ファイルシステムから移動される場合にのみ変更が可能です。
すべての ufs
タイプのファイルシステムは可変です。したがって、Trusted Solaris システムでインストールされるすべてのファイルシステムは可変です。Trusted Solaris または TSIX NFS サーバーからマウントされる nfs
タイプのファイルシステムは可変です。他のオペレーティング環境が動作している NFS サーバーからマウントされる nfs
タイプのファイルシステムは固定です。tmpfs
ファイルシステムは可変です。fdfs
、hsfs
、および pcfs
タイプのファイルシステムは常に固定です。lofs
タイプのファイルシステムの属性は実際のファイルシステムの属性と同じです。詳細は、「Trusted Solaris システムにマウントできるファイルシステムの種類」を参照してください。
次の表には、可変属性ファイルシステムのセキュリティ属性を示します。また、可変属性を指定しない場合に使用されるデフォルト値も示します。
表 11-3 Trusted Solaris ファイルシステムのセキュリティ属性と定義済みの設定値属性 | 説明 | デフォルト値 |
---|---|---|
ファイルシステムの MLD 接頭辞 | ファイルシステムの MLD を示す MLD 接頭辞に使用される文字 | .MLD |
ファイルシステムの機密ラベル範囲 | このファイルシステム上に作成されたファイルとディレクトリの最下位の機密ラベルと最上位の機密ラベル | ADMIN_LOW 〜 ADMIN_HIGH |
ファイルシステムの機密ラベル | このファイルシステム上にあるすべてのファイルとディレクトリのうち、明示的な機密ラベルを持たないものについて仮定される機密ラベル | なし |
ファイルシステムのアクセス ACL | このファイルシステム上にあるすべてのファイルとディレクトリのうち、明示的なアクセス ACL を持たないものについて仮定されるアクセス ACL (形式については setfacl(1) を参照のこと) | なし |
ファイルシステムの強制された特権のセット | このファイルシステム上にあるすべての実行可能ファイルのうち、明示的な強制された特権を持たないものについて仮定される強制された特権のセット | なし |
ファイルシステムの許容された特権のセット | このファイルシステム上にあるすべての実行可能ファイルのうち、明示的な許容された特権を持たないものについて仮定される許容された特権のセット | なし |
サイトのセキュリティポリシーに基づいて新たなセキュリティ属性が必要になった場合には、セキュリティ管理者役割を行うことができます。
setfsattr(1M) を使用して、既存のファイルシステム上の属性セットを調整する (「ファイルシステム上でセキュリティ属性を設定するには」を参照してください。)
Trusted Solaris ホスト上の /、/usr 、/var というファイルシステムのセキュリティ属性は、変更したり明示的に設定したりしないでください。予想外の結果になることがあります。
固定属性ファイルシステムをマウントするとき、セキュリティ管理者役割は mount -S コマンドをコマンド行から入力するか、 vfstab(4) ファイルを使用して、セキュリティ属性を指定できます。マウント時に指定された属性は、ファイルまたはディレクトリが属性を持っていなければ、マウントされたファイルシステム内のすべてのファイルおよびディレクトリに適用されます。ファイルまたはディレクトリ上のすべての属性が使用されます。たとえば、UNIX ファイルシステム内のファイルおよびディレクトリはユーザー ID (UID) とグループ ID (GID) を持っているため、ファイルシステムオブジェクトがすでに持っている UID と GID が使われます。ファイルまたはディレクトリが属性を持っておらず、マウント時に何も指定されない場合、デフォルト (表 11-4 を参照) が適用されます。
固定属性ファイルシステムでは、オブジェクトがファイルシステム上に存在するかぎり、セキュリティ属性はオブジェクト上で変更できません。
固定属性ファイルシステムは、Trusted Solaris ホストにマウントされるとき、単一の機密ラベルを持つよう構成されるので、「単一ラベルファイルシステム」と呼ばれます。
次の例は、Solaris 動作環境で動作する NFS サーバーから /spare と呼ばれる固定属性ファイルシステムを NFS マウントするコマンド行を示したものです。このサービスは、outside サービスと呼ばれます。/spare には、[INTERNAL_USE_ONLY] という機密ラベルが付けられており、次のコマンド行に示すように、-S オプション付きの mount が使われています。
$ mount -F nfs -S "slabel=INTERNAL_USE_ONLY; outside:/spare /spare |
例えば、マウントされたファイルシステム /spare に、test と呼ばれるファイルがある場合、 /spare/test の機密ラベルは誰も変更できません。また、その情報ラベルを浮上させることもできません。ただし、/spare/test を /tmp または /export/home/secadmin などの別のディレクトリにコピーすると、そのラベルを変更することができます。
固定属性ファイルシステム (Solaris システムのファイルシステムなど) がマウントされていると、マウント時に指定されていないセキュリティ属性には、デフォルト値が割り当てられます。マウント時の属性値が mount コマンド行にもファイルシステムの vfstab_adjunct エントリにも指定されていないとき、属性をサポートしていない固定属性ファイルシステムに使用される値を表 11-4 に示します。
表 11-4 固定ファイルシステムに割り当て可能な属性属性 | デフォルト値 |
---|---|
UID | UID がファイルシステムのオブジェクトとして定義されていないときは、割り当てが必要。 フロッピーから DOS ファイルシステムをマウントするときなど。 |
GID | GID がファイルシステムのオブジェクトとして定義されていないときは、割り当てが必要。 フロッピーから DOS ファイルシステムをマウントするときなど。 |
モード | UID がファイルシステムのオブジェクトとして定義されていないときは、割り当てが必要。 フロッピーから DOS ファイルシステムをマウントするときなど。 |
属性フラグ | なし |
MLD 接頭辞 | 空の文字列 |
機密ラベル範囲 | ADMIN_LOW から ADMIN_HIGH |
機密ラベル |
固定ファイルシステムが CD-ROM またはフロッピーディスクからマウントされている場合: マウントポイントの機密ラベル (マウント処理を実行しているプロセスの機密ラベルに変更される) 固定ファイルシステムが NFS サーバーからマウントされている場合: デフォルトの機密ラベル (管理者役割がトラステッドネットワークエントリ内でサーバーに割り当てる) |
アクセス ACL | なし |
強制された特権セット | なし |
許容された特権セット | なし |