Trusted Solaris システムにマウントできるファイルシステムの種類
Trusted Solaris の mount(1M) を使用すると、次の種類のファイルシステムをマウントすることができます。
-
FDFS
-
HSFS
-
LOFS
-
NFS
-
PCFS
-
PROCFS
-
TMPFS
-
UFS
CACHEFS という種類のファイルシステムは、サポートされていません。自動マウント (automount(1M) のマニュアルページを参照) はファイルシステムを AUTOFS タイプでマウントします。
mount_nfs(1M)、mount_ufs(1M) など、mount_* と表現されるマニュアルページが複数用意されていますが、mount(1M) というコマンドは 1 つしかありません。mount というマニュアルページには、マウント時に設定できるセキュリティ属性と、マウントが正常終了するのに必要な特権、UID および GID について説明しています。セキュリティ属性の詳細については、「ファイルシステムの属性」とそれに続く説明を参照してください。
各種のファイルシステムをマウントするためのオプションについては、該当する mount_* マニュアルぺージを参照してください。vfstab_adjunct(4) というマニュアルページでは、/etc/security/tsol/vfstab_adjunct ファイルについて説明しています。このファイルには、vfstab(4) ファイル、 /etc/auto_direct ファイル、または autofs マップ で指定されたファイルシステムをマウントする際に使用されるマウント時セキュリティオプションを入力することができます。
表 11-5 では、各種のマウントについて説明し、例も示します。
| マウントの種類 | 使用する目的 | 説明 |
|---|---|---|
| FDFS | 仮想タイプのファイルシステムであり、ファイル名スペースを通して、プログラムが独自のファイル記述子にアクセスできるようにする | 各プロセスはそれ自身のファイル記述子にしか、アクセスすることができないため、MAC および DAC による分離を確実に行うことができる。モード (0666)、グループ (スーパーユーザー) および所有者 (スーパーユーザー) はカーネルによって作成されるが、DAC の判断には使用されない。機密ラベルおよび情報ラベルは、そのファイル記述子に関連付けられているファイルまたはディレクトリの機密ラベルである。これは固定属性ファイルシステムである。 |
| HSFS | ファイルシステムを CD デバイスからマウントする | mount_hsfs(1M) を参照のこと。Trusted Solaris 環境では、マウント時にファイルシステムの固定属性を指定できる。 |
| LOFS | 仮想ファイルシステムの作成を可能にする、仮想タイプのファイルシステムであり、代替パス名を使用して既存のファイルにアクセスできる | lofs(7FS) を参照のこと。Trusted Solaris システムのセキュリティ属性は、基本ファイルシステムのセキュリティ属性と同じである。 |
| NFS | リモート NFS サーバーからファイルシステムをマウントする | mount_nfs(1M) を参照のこと。また、「Trusted Solarisの NFS マウント」も参照のこと。NFS マウントは、固定属性および可変属性の各ファイルシステム上で使用できる。 |
|
ディスケットから DOS ファイルシステムをマウントする |
pcfs(7FS) を参照のこと。このファイルシステムには、拡張属性は設定できない。 |
|
| PROCFS | 仮想タイプのファイルシステムであり、システム上の各プロセスのイメージにアクセスできる。/proc ディレクトリの各エントリの名前は、プロセス ID に対応する 10 進数の数字である。各ファイルの所有者は、プロセスの実ユーザー ID によって決まる。 | Trusted Solaris システムの PROCFS は、全 Trusted Solaris 属性がサポートされる可変属性ファイルシステムである。プロセスからのアクセスは、/proc ファイルに設定された DAC 属性と MAC 属性に基づいて判断される。これらの属性は、プロセスの DAC 属性と MAC 属性から取り込まれる。proc_owner 特権を持っている呼び出し元プロセスは、呼び出し元が所有していないプロセスに関する情報を同じ機密ラベルで取得することができる。proc_mac_read 特権を持っている呼び出し元プロセスは、プロセスの機密ラベルが呼び出し元の機密ラベルより優位であるか、または無関係の場合に、呼び出し元が所有するプロセスに関する情報を取得できる。変更に関する制約は、読み取りに関する制約よりきめ細かく設定されている。proc(4) マニュアルページを参照のこと |
| TMPFS | スワップページを使用する一時的なファイルシステムをメモリ (一次メモリまたはスワップ記憶領域) にマウントする。マウントされた内容はリブート時に消滅する | /tmp はしばしば tmpfs としてマウントされる。この利点は、一時的なファイルシステムの内容に関係なく、アクセス速度が格段速くなるということである。これは、情報がディスクからでなく、メモリから取り込まれるからである。 mount_tmpfs(1M) を参照のこと |
| UFS | ファイルシステムをローカルディスクからマウントする | mount_ufs(1M) を参照のこと。UFS ファイルシステムには、マウント時に固定属性を割り当てたり、作成時または後に可変属性を割り当てたりすることができる。「ファイルシステムに可変属性を設定する」を参照のこと。注: ラベルなしの (固定属性) ファイルシステムでは、通常、MLD 接頭辞は有効ではない。ただし、例外として、別の可変ファイルシステムがラベルなしのファイルシステムにマウントされる場合に、そのファイルシステムのルートが MLD である場合は、MLD 接頭辞を指定する必要がある。接頭辞を指定しないと、デフォルトとして空の文字列が使用される |
UFS マウントと NFS マウントは、もっとも一般的に使用されるマウントの種類です。
MLD は、次のファイルシステムのみで使用できます。
-
ufs (always variable)
-
nfs-variable
(Trusted Solaris サーバーからマウントされる NFS ファイルシステム)
-
lofs
-
tmpfs
保護用のマウントオプション
mount コマンドを使用するには、コマンド行または vfstab(4) ファイルに -o オプションを指定し、それに続けて 4 つの保護オプションのいずれかを指定します。これらの保護オプションには、マウントされるファイルシステム上にあるデータを保護するために使用するものもあれば、マウントされたファイルシステムからトロイの木馬のような侵入を防ぐものもあります。次の表に示す mount 制約はすべてのファイルシステムに適用されます。デフォルト値の欄には、admin がオプションを指定しない場合に使用される値を示します。
表 11-6 マウント時の制約とデフォルト値|
説明 |
デフォルト値 |
代替値 |
|---|---|---|
|
書き込み操作を禁止する |
rw |
ro |
|
実行可能ファイル上のユーザー ID 設定ビットを無視する |
suid |
nosuid |
|
実行可能ファイル上の強制された特権セットを無視する |
priv |
nopriv |
|
デバイス特殊ファイルのオープンを禁止し、標準以外のディレクトリからデバイスが使用されるのを防ぐ |
devices |
nodevices |
注 -
書き込みを禁止する ro オプションと、ユーザー ID 設定ビットを無視する suid オプションは、標準 Solaris バージョンのマウントのものです。
各種ファイルシステムにおける属性のまとめ
ファイルシステムによっては、属性が個々のオブジェクト (ファイルやディレクトリ) に結びつくこともあれば、ファイルシステムのレベルだけにしか存在しないこともあります。ファイルシステムレベルの属性は、ファイルシステムそのものによって提供されるか、マウント時に指定されます。マウント時に指定した属性は、ファイルシステム上の同じ属性を無効にします。
ファイルシステムのセキュリティ属性のマウント時の指定は、コマンド行で -S オプション付きの mount を使って行われるか、vfstab_adjunct ファイルまたは、auto_master および autofs マップのエントリで -S オプションを付けて指定します。セキュリティ属性が auto_master でも autofs マップのエントリでも指定されておらず、マウントポイントのエントリが vfstab_adjunct ファイル内にあれば、vfstab_adjunct のセキュリティ属性が使われます。詳細は、mount(1M)、vfstab_adjunct(4)、および automounat(1M) のマニュアルページを参照してください。
次の表に、各種ファイルシステムがどのようなファイルシステム属性をサポートしているかを示します。表 11-8 の追加情報も参照してください。
表 11-7 各種ファイルシステムでサポートされている属性| 属性 | UFS/TNFS | TMPFS/SLNFS | PCFS/HSFS |
|---|---|---|---|
| 許容された特権 | FS | MT | MT |
| 強制された特権 | FS | MT | MT |
| CMW ラベル | FS | MT | MT |
| MLD 接頭辞 | FS | MT | MT |
| ラベル範囲 | FS | MT | MT |
| 監査事前選択マスク | FS | MT | MT |
| ファイルシステム属性フラグ | FS | none | none |
| オブジェクト属性フラグ | FS | MT | MT |
| マウントフラグ | MT | MT | MT |
| アクセス ACL | OBJ | OBJ | MT |
| ファイルモード | OBJ | OBJ | MT* |
| ファイル所有者 | OBJ | OBJ | MT* |
| ファイルグループ | OBJ | OBJ | MT* |
次の表に、表 11-7 で説明したファイルシステムの属性がどこから取得されるのかを理解するための追加情報を示します。
表 11-8 各ファイルシステムの属性がどこから取得されるのか| ファイルシステムの種類 | 属性の入手先 | 種類 | 属性の入手先 |
|---|---|---|---|
| UFS | Trusted Solaris ホストの ufs ファイルシステム | FS | ファイルシステムで指定された属性 |
| TNFS | Trusted Solaris または TSIX サーバーの tnfs ファイルシステム | MT | マウント時指定の属性 |
| TMPFS | tmpfs ファイルシステム | OBJ | ファイルシステムの全オブジェクトに付けられた属性 |
| SLNFS | 単一ラベル/ラベルなしサーバーの NFSv2 ファイルシステムまたはNFSv3 ファイルシステム | MT | Rock Ridge 拡張機能付き hsfs 用。 OBJ と同じ |
| PCFS | pcfs ファイルシステム | ||
| HSFS | hsfs ファイルシステム |
- © 2010, Oracle Corporation and/or its affiliates