Trusted Solaris 管理の手順

Trusted Solaris システムにマウントできるファイルシステムの種類

Trusted Solaris の mount(1M) を使用すると、次の種類のファイルシステムをマウントすることができます。

表 11-5 マウントの種類、例および説明
 マウントの種類 使用する目的 説明
FDFS  仮想タイプのファイルシステムであり、ファイル名スペースを通して、プログラムが独自のファイル記述子にアクセスできるようにする 各プロセスはそれ自身のファイル記述子にしか、アクセスすることができないため、MAC および DAC による分離を確実に行うことができる。モード (0666)、グループ (スーパーユーザー) および所有者 (スーパーユーザー) はカーネルによって作成されるが、DAC の判断には使用されない。機密ラベルおよび情報ラベルは、そのファイル記述子に関連付けられているファイルまたはディレクトリの機密ラベルである。これは固定属性ファイルシステムである。
HSFS  ファイルシステムを CD デバイスからマウントするmount_hsfs(1M) を参照のこと。Trusted Solaris 環境では、マウント時にファイルシステムの固定属性を指定できる。
LOFS  仮想ファイルシステムの作成を可能にする、仮想タイプのファイルシステムであり、代替パス名を使用して既存のファイルにアクセスできる lofs(7FS) を参照のこと。Trusted Solaris システムのセキュリティ属性は、基本ファイルシステムのセキュリティ属性と同じである。
NFS  リモート NFS サーバーからファイルシステムをマウントするmount_nfs(1M) を参照のこと。また、「Trusted Solarisの NFS マウント」も参照のこと。NFS マウントは、固定属性および可変属性の各ファイルシステム上で使用できる。

PCFS

ディスケットから DOS ファイルシステムをマウントする 

pcfs(7FS) を参照のこと。このファイルシステムには、拡張属性は設定できない。

PROCFS  仮想タイプのファイルシステムであり、システム上の各プロセスのイメージにアクセスできる。/proc ディレクトリの各エントリの名前は、プロセス ID に対応する 10 進数の数字である。各ファイルの所有者は、プロセスの実ユーザー ID によって決まる。Trusted Solaris システムの PROCFS は、全 Trusted Solaris 属性がサポートされる可変属性ファイルシステムである。プロセスからのアクセスは、/proc ファイルに設定された DAC 属性と MAC 属性に基づいて判断される。これらの属性は、プロセスの DAC 属性と MAC 属性から取り込まれる。proc_owner 特権を持っている呼び出し元プロセスは、呼び出し元が所有していないプロセスに関する情報を同じ機密ラベルで取得することができる。proc_mac_read 特権を持っている呼び出し元プロセスは、プロセスの機密ラベルが呼び出し元の機密ラベルより優位であるか、または無関係の場合に、呼び出し元が所有するプロセスに関する情報を取得できる。変更に関する制約は、読み取りに関する制約よりきめ細かく設定されている。proc(4) マニュアルページを参照のこと
TMPFS  スワップページを使用する一時的なファイルシステムをメモリ (一次メモリまたはスワップ記憶領域) にマウントする。マウントされた内容はリブート時に消滅する/tmp はしばしば tmpfs としてマウントされる。この利点は、一時的なファイルシステムの内容に関係なく、アクセス速度が格段速くなるということである。これは、情報がディスクからでなく、メモリから取り込まれるからである。 mount_tmpfs(1M) を参照のこと
UFS  ファイルシステムをローカルディスクからマウントするmount_ufs(1M) を参照のこと。UFS ファイルシステムには、マウント時に固定属性を割り当てたり、作成時または後に可変属性を割り当てたりすることができる。「ファイルシステムに可変属性を設定する」を参照のこと。注: ラベルなしの (固定属性) ファイルシステムでは、通常、MLD 接頭辞は有効ではない。ただし、例外として、別の可変ファイルシステムがラベルなしのファイルシステムにマウントされる場合に、そのファイルシステムのルートが MLD である場合は、MLD 接頭辞を指定する必要がある。接頭辞を指定しないと、デフォルトとして空の文字列が使用される

UFS マウントと NFS マウントは、もっとも一般的に使用されるマウントの種類です。

MLD は、次のファイルシステムのみで使用できます。

保護用のマウントオプション

mount コマンドを使用するには、コマンド行または vfstab(4) ファイルに -o オプションを指定し、それに続けて 4 つの保護オプションのいずれかを指定します。これらの保護オプションには、マウントされるファイルシステム上にあるデータを保護するために使用するものもあれば、マウントされたファイルシステムからトロイの木馬のような侵入を防ぐものもあります。次の表に示す mount 制約はすべてのファイルシステムに適用されます。デフォルト値の欄には、admin がオプションを指定しない場合に使用される値を示します。

表 11-6 マウント時の制約とデフォルト値

説明 

デフォルト値 

代替値 

書き込み操作を禁止する 

rw

ro

実行可能ファイル上のユーザー ID 設定ビットを無視する 

suid

nosuid

実行可能ファイル上の強制された特権セットを無視する 

priv

nopriv

デバイス特殊ファイルのオープンを禁止し、標準以外のディレクトリからデバイスが使用されるのを防ぐ 

devices

nodevices


注 -

書き込みを禁止する ro オプションと、ユーザー ID 設定ビットを無視する suid オプションは、標準 Solaris バージョンのマウントのものです。


各種ファイルシステムにおける属性のまとめ

ファイルシステムによっては、属性が個々のオブジェクト (ファイルやディレクトリ) に結びつくこともあれば、ファイルシステムのレベルだけにしか存在しないこともあります。ファイルシステムレベルの属性は、ファイルシステムそのものによって提供されるか、マウント時に指定されます。マウント時に指定した属性は、ファイルシステム上の同じ属性を無効にします。

ファイルシステムのセキュリティ属性のマウント時の指定は、コマンド行で -S オプション付きの mount を使って行われるか、vfstab_adjunct ファイルまたは、auto_master および autofs マップのエントリで -S オプションを付けて指定します。セキュリティ属性が auto_master でも autofs マップのエントリでも指定されておらず、マウントポイントのエントリが vfstab_adjunct ファイル内にあれば、vfstab_adjunct のセキュリティ属性が使われます。詳細は、mount(1M)vfstab_adjunct(4)、および automounat(1M) のマニュアルページを参照してください。

次の表に、各種ファイルシステムがどのようなファイルシステム属性をサポートしているかを示します。表 11-8 の追加情報も参照してください。

表 11-7 各種ファイルシステムでサポートされている属性
 属性 UFS/TNFS  TMPFS/SLNFS PCFS/HSFS
 許容された特権 FS MT MT
 強制された特権 FS MT MT
 CMW ラベル FS MT MT
 MLD 接頭辞 FS MT MT
 ラベル範囲 FS MT MT
 監査事前選択マスク FS MT MT
 ファイルシステム属性フラグ FS none none
 オブジェクト属性フラグ FS MT MT
 マウントフラグ MT MT MT
 アクセス ACL OBJ OBJ MT
 ファイルモード OBJ OBJ MT*
 ファイル所有者 OBJ OBJ MT*
 ファイルグループ OBJ OBJ MT*

次の表に、表 11-7 で説明したファイルシステムの属性がどこから取得されるのかを理解するための追加情報を示します。

表 11-8 各ファイルシステムの属性がどこから取得されるのか
 ファイルシステムの種類 属性の入手先  種類 属性の入手先
 UFS Trusted Solaris ホストの ufs ファイルシステム FS ファイルシステムで指定された属性
 TNFS Trusted Solaris または TSIX サーバーの tnfs ファイルシステム MT マウント時指定の属性
 TMPFS tmpfs ファイルシステム OBJ  ファイルシステムの全オブジェクトに付けられた属性
 SLNFS 単一ラベル/ラベルなしサーバーの NFSv2 ファイルシステムまたはNFSv3 ファイルシステム MT Rock Ridge 拡張機能付き hsfs 用。 OBJ と同じ
 PCFS pcfs ファイルシステム  
 HSFS hsfs ファイルシステム