マウント時にセキュリティ属性を指定する

固定ファイルシステムと可変ファイルシステムの両方において、セキュリティ属性はマウント時に指定できます。

次に、マウント時にセキュリティ属性を指定できるファイルシステムのタイプを示します。

• 属性がサポートされていないファイルシステム (DOS ファイルシステムなど)

• UID、GID、モードをサポートしているが、Trusted Solaris 拡張セキュリティ属性をサポートしていないファイルシステム (ファイルシステムオブジェクトにおける機密ラベルなど)

属性が指定されていない場合は、デフォルト値が使用されます。

mount コマンドは、固定属性ファイルシステムをマウントするときに、特権セット、ACL、機密ラベルにデフォルト値を設定するように拡張されています。UFS および トラステッド NFS (可変) ファイルシステムでは、マウントプロトコルは、ローカルマシン上またはリモートマシン上にあるファイルシステムから拡張属性を取り込むよう、機能拡張されています。

セキュリティ管理者は、マウント時にセキュリティ属性を指定するために、mount -S オプション、または vfstab_adjunct(4) ファイル内のファイルシステムのエントリを使用します。詳細は、mount(1M) のマニュアルページを参照してください。

• 「マウント時にコマンド行でセキュリティ属性を指定するには」

• 「マウント時に vfstab_adjunct ファイルにセキュリティ属性を指定するには」

マウント時にセキュリティ管理者役割が一連の属性を指定できるようにすることで、ファイルシステム、またはファイルとディレクトリのいずれかのレベルで、埋め込みセキュリティ属性をサポートしていない固定属性ファイルシステムをマウントできるようになります。また、セキュリティ管理者は属性を指定することによって、それらのファイルシステム上の定義済み属性を無効にできます。

ファイルシステムがマウントされる場合、ファイルシステムの種類でサポートされている属性のリストに照合して、指定のマウント属性が検査されます。マウント属性が、ファイルシステムでサポートされていない場合、マウントは失敗し、マウントコマンドの呼び出し元にエラーが返されます。たとえば、ufs というファイルシステムでは、ユーザー ID がサポートされ、マウントユーザー ID はサポートされていません。ファイルのマウント時に行われる 2 番目の検査は、属性値の妥当性に関するものです。属性値が有効でない場合、ファイルシステムはマウントされず、エラーが呼び出し元に返されます。たとえば、強制された特権セットは、許容される特権セットに含まれていなければなりません。

単一ラベルの固定属性ファイルシステムでは、ファイルシステムのマウント時に指定した単一機密ラベルでのみ、ファイルとディレクトリにアクセスすることができます。単一ラベルのファイルシステムでは、個々のファイルとディレクトリの機密ラベルと情報ラベルを変更できません。指定したラベル範囲と機密ラベルが全データのラベルを正確に表現するよう保証するのは、管理者の責任です。

ラベルなしのホストとして構成されたホストからマウントされたファイルシステムは、ホスト内にあるファイルとディレクトリの UID、GID、オプションの ACL とデフォルトの ACL をサポートしますが、セキュリティ属性は持ちません。セキュリティ管理者役割は、機密ラベル範囲 (事実上、ファイルシステムの単一ラベルになる) と、他のデフォルトのセキュリティ属性を指定します。