Trusted Solaris 管理の手順

ファイルおよびファイルシステム関連の手順

ファイルおよびディレクトリのラベルと特権を変更するには

  1. セキュリティ管理者役割になります。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. ファイルマネージャを起動し、特権またはラベルを変更したいファイルを強調表示します。

  3. 特権を変更する場合は、「選択 (Selected)」メニューから「特権 (Privileges)」を選択します。

    次に、ファイルマネージャの「特権 (Privileges)」ダイアログボックスを示します。

    Graphic
    1. ファイルマネージャの「特権 (Privileges)」ダイアログボックスで、「許容された特権 (Allowed)」または「強制された特権 (Forced)」のボタンをオンにします。

    2. 目的の特権を「含まない (Excluded)」リストから「含む (Included)」リストに移動させます。

    3. 「了解 (OK)」をクリックします。

  4. ラベルを変更する場合は、「選択 (Selected)」メニューから「ラベル (Labels)」を選択します。

    ファイルマネージャのラベルビルダーダイアログボックスが表示されます。

    Graphic
    1. ファイルマネージャのラベルビルダーダイアログボックスで、ラベルを入力します。

      次の手順のいずれかを実行します。

      1. 「更新後のラベル (Update Label With)」の下のテキストフィールドに入力します。

      2. 目的の格付け、コンパートメント、マーキングを必要に応じてクリックします。

    2. 「了解 (OK)」をクリックします。

ローカルファイルシステムの作成時に、代替セキュリティ属性を指定するには

  1. システム管理者役割になり、ADMIN_LOW ワークスペース に移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. ファイルマネージャ、または pfsh(1M) シェルで mkdir(1) コマンドを使用して、マウントポイントとなるディレクトリを作成します。


    $ mkdir /newpublic
    
  3. 「マウント・ポイントの設定 (Set Mount Points)」アクションを使用して、 vfstab(4) ファイルを開き、編集します。

    必要に応じて、「管理アクションを起動するには」を参照してください。

  4. vfstab(4) ファイルにファイルシステムのエントリを作成します。


    /dev/dsk/c0t3d0s3   /dev/rdsk/c0t3d0s3   /newpublic  ufs   2  yes-
    
  5. ファイルを保存し、閉じます。


    :wq
    
  6. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。

  7. プロファイルシェル pfsh(1M) で、目的の代替セキュリティ属性を指定して newsecfs(1M) コマンドを実行し、ファイルシステムをマウントします。

    次の例は、機密ラベル範囲を SECRET から SECRET に設定しています。


    $ newsecfs -l "Secret;Secret" /newpublic
    $ mount /spublic
    

ファイルシステム上でセキュリティ属性を設定するには

  1. システム管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. プロファイルシェルで、umount(1M) と入力し、ファイルシステムをマウント解除します。


    $ umount /spublic
    
  3. 「マウント・ポイントの設定 (Set Mount Points)」アクションを使用して、vfstab(4) ファイルを開き、編集します。

    必要に応じて、「管理アクションを起動するには」を参照してください。

  4. vfstab(4) ファイルにファイルシステムのエントリが存在することを確認します。


    /dev/dsk/c0t3d0s4  /dev/rdsk/c0t3d0s4  /spublic  ufs  2  yes -
    
  5. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。

  6. プロファイルシェルで、該当する引数を指定して setfsattr(1M) コマンドを実行し、ファイルシステムを再度マウントします。

    次の例は、機密ラベル範囲を SECRET から SECRTT に設定しています。


    $ setfsattr -l "Secret;Secret" /public
    $ mount /spublic
    

    注意 - 注意 -

    マウントするファイルシステムには、機密度の高い情報を含む名前は使用しないでください。マウントするファイルシステムの名前は、全ユーザーに表示されます。


マウント時にコマンド行でセキュリティ属性を指定するには

  1. システム管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. プロファイルシェルで、mount コマンドを入力し、-S オプションに続けて、希望のセキュリティ属性を指定します。


    $ mount -F tmpfs -S  "allowed=all;forced=all" swap /mnt
    

    上記の例は、tmpfs タイプのファイルシステムである swap/mntt 上にマウントします。許容された特権と強制された特権がすべて設定されます。

マウント時に auto_direct ファイルにセキュリティ属性を指定するには


注 -

ファイルシステムが自動マウントされる際に、auto_direct ファイルまたは autofs マップ内にセキュリティ属性が存在しない場合、属性は /etc/security/tsol/vfstab_adjunct file ファイルから取得されます。必要であれば、「マウント時に vfstab_adjunct ファイルにセキュリティ属性を指定するには」を参照してください。また、セキュリティ属性を指定した自動マウントの詳細については、automount(1M) のマニュアルページを参照してください。


  1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 「管理用エディタ (Admin Editor)」アクションを使って、/etc/auto_direct ファイルを開き、編集します。

    必要に応じて、「管理アクションを起動するには」を参照してください。

  3. ファイルシステムとそのセキュリティ属性のためのエントリを作成します。

    次に、エントリの例を示します。


    /usr/doctools -S allowed=all ardilla:/export/doctools
  4. 変更を保存し、ファイルを閉じます。


    :wq
    

マウント時に vfstab_adjunct ファイルにセキュリティ属性を指定するには

  1. システム管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 「マウント・ポイントの設定 (Set Mount Points)」アクションを使用して、vfstab(4) ファイルを開き、編集します。

    必要に応じて、「管理アクションを起動するには」を参照してください。

  3. マウントポイントを指定し (vfstab のマニュアルページを参照)、必要に応じて、ファイルシステムに固有なセキュリティオプションをマウントオプションに追加します。

    ファイルシステムタイプについては、mount_* のマニュアルページのファイルシステム固有のオプションを参照してください。

    次の例は、ファイルシステムのタイプに ufs を指定し、標準 Solaris オペレーティング環境の nosuid オプションに加え、Trusted Solaris のマウントオプション、nodevicesnopriv を指定します。


    /dev/dsk/c0t3d0s4  /dev/rdsk/c0t3d0s4  /spublic  ufs  2  yes  nodevices,nopriv,nosuid
    
  4. ファイルを保存し、閉じます。


    :wq
    
  5. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。

  6. 「マウント属性の設定 (Set Mount Attributes)」アクションを使用して、vfstab_adjunct(4) ファイルを開き、編集します。

  7. ファイルの先頭部分で、テンプレートのエントリをコピー、ペーストし、そのコピーを修正します。

    次の例は、次のセキュリティ属性を /spublic に設定します。ファイルシステム内の全ファイルは、SECRET A という機密ラベルを (slabel) 持っているので、これらのファイルへは、その機密ラベルか、またはその機密ラベルより完全に優位な機密ラベルでのみアクセスできます。


    #
     #       Yank the following entry and use as a template.
     #
     #<mount point>; ¥
     #acc_acl=; ¥
             . . .
     #audit_psa=;
     #
     #       attributes for an unlabeled file system
     #
     /spublic;¥
     acc_acl=; mode=; attr_flg=; gid=; uid=; ¥
     slabel="Secret A"; forced=; allowed=; low_range="Secret A";¥
     hi_range="Secret A"; mld_prefix=; mnt_flg=; audit_psa=;
     #
     #       attributes for an HSFS file system to mount from a
     #       CD-ROM
     #
     /cdrom;¥
     acc_acl=; mode=; attr_flg=; gid=; uid=; ¥
     slabel=; forced=127; allowed=all; low_range=;hi_range=;¥
     mld_prefix; mnt_flg=; audit_psa=;
     #
     #       automatically mounted by /etc/init.d/MOUNTFSYS
     #
     /tmp;¥
     acc_acl=; mode=; attr_flg=; gid=; uid=; ¥
     slabel=; forced=127; allowed=all; low_range=;hi_range=;¥
     mld_prefix; mnt_flg=; audit_psa=;
  8. ファイルを保存し、閉じます。


    :wq
    

他のホストがマウントするためにディレクトリを共有するには

  1. システム管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 「ファイルシステムの共有 (Share Filesystems)」アクションを使用して、/etc/dfs/dfstab ファイルを開き、編集します。

    必要に応じて、「管理アクションを起動するには」および dfstab(4) のマニュアルページを参照してください。

  3. エクスポートしたいファイルシステムのエントリを作成します。

    次の例は、ユーザーのホームディレクトリを、 nodevicesnoprivnosuid、および rw オプションでエクスポートします。


    share -F nfs -o nodevices,nopriv,nosuid,rw -d "My Home Directory" /export/home/roseanne
    
  4. ファイルを保存し、閉じます。


    :wq
    
  5. プロファイルシェル [pfsh(1M)] で、shareall(1M) を実行し、NFS デーモン nfsd(1M)dfstab(4) を再度読み込むよう指示します。


    $  shareall
    
  6. NFS デーモンが動作していることを確認します。

    1. ps(1) の出力を grep(1) に入力して、nfsd が動作しているかどうかを確認します。


      $ ps -ef | grep nfs
      root   303     1  0 10:35:42 ?        0:00 /usr/lib/nfs/nfsd -a 16

      注 -

      NFS デーモンが自動的に起動するには、ブート時に dfstab ファイル内にエントリが存在していなければなりません。


    2. NFS デーモンが動作していない場合、手順 7 に進み、NFS デーモンを起動します。

    3. NFS デーモンが動作している場合、手順 8 に進みます。

  7. 必要に応じて、NFS デーモンを起動します。

    1. プロファイルシェルで、/etc/init.d ディレクトリに移動します。

    2. nfs.server start コマンドを入力します。


      $ ./nfs.server start
      
    3. NFS デーモンが動作していることを確認します。


      $ ps -ef | grep nfs
      root   303     1  0 10:35:42 ?        0:00 /usr/lib/nfs/nfsd -a 16
  8. share(1M) コマンドをオプションなしで入力して、ファイルシステムがエクスポートされていることを確認します。


    $ share
    -               /spare/manuals   rw   "manuals" 

コマンド行を使用して、TMPFS タイプのファイルシステムをマウントするには

  1. システム管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. プロファイルシェルで、mount コマンドを入力し、-S オプションに続けて希望するセキュリティ属性を指定します。


    $ mount -F tmpfs -S "allowed=all;forced=all" swap /mnt
    

    例では、tmpfs タイプのファイルシステムである swap/mnt 上にマウントします。

HSFS タイプのファイルシステムで CD-ROM をマウントするには

任意のユーザーまたは役割になり、cd_rom_N デバイスを割り当てます。

割り当てられた CD-ROM デバイスに装着されている CD にファイルシステムが含まれている場合は、そのファイルシステムをマウントするかどうかが尋ねられます。これに対し yes と答えると、ファイルシステムは自動的にマウントされます。

オーディオ CD-ROM の CD プレイヤーを自動的に起動するには

第 15 章「デバイスの管理」「CD-ROM デバイスの処理方法」で説明するように、割り当てられた CD-ROM デバイスにオーディオ CD を装着し、かつ rmmount.conf でオーディオ動作が指定されている場合は、オーディオ動作が実行されます。

  1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 「管理用エディタ (Admin Editor)」アクションを使用して /etc/rmmount.conf ファイルを開き、編集します。

    必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

  3. 自動的に CD プレイヤーを起動するアクションを追加します。

    次の例は、セキュリティ管理者役割が /usr/bin にインストールされている CD プレイヤー workman のためのアクションを rmmount.conf で作成する方法を示しています。


    action cdrom action_workman.so /usr/bin/workman
    
  4. ファイルを保存し、閉じます。


    :wq
    

ユーザーまたは役割として、オーディオ CD を聞くには

  1. スピーカーが CD-ROM デバイスに接続され、電源が入っていることを確認します。

  2. 「オーディオ CD-ROM の CD プレイヤーを自動的に起動するには」ための手順を確認します。

  3. ワークスペースの機密ラベルでオーディオデバイスと cd_rom_N デバイスを割り当てます。

  4. オーディオ CD をデバイスに挿入するよう要求されたら、挿入します。

    すると、指定の CD プレイヤープログラムが自動的に起動されます。

マウント時の障害を追跡するには

  1. ファイルシステムを共有するホストの IP アドレスが、マウント操作を行う Trusted Solaris ホスト上の tnrhdb(4) ファイルに設定されていることを確認します。

    NIS+ ネームサービスを利用する場合は、ファイルシステムを共有するホストの IP アドレスを NIS+ ドメインの tnrhdb テーブルに設定しておく必要があります。ネームサービスを利用しない場合は、ファイルシステムを共有するホストの IP アドレスがマウント操作を行う Trusted Solaris ホストの /etc/security/tsol/tnrhdb ファイルに存在していなければなりません。

  2. ホスト上で Trusted Solaris オペレーティング環境が動作していない場合は、有効な機密ラベルがテンプレート tnrhtp(4) でホストに割り当てられていること、その機密ラベルがマウントにも使用されていること、そして、ラベル範囲が mount -S コマンド行に続けて指定されているか、あるいは、/etc/security/tsol/vfstab_adjunct ファイル内に指定されていることを確認します。

  3. ローカルホストのリブート以降、トラステッドネットワークデータベースに単一ラベルのリモートホストを新たに追加した場合や、テンプレートが変更された場合は、単一ラベルホストのエントリを tnctl -h hostname (ホストの追加後) または tnctl -t templatename (テンプレートの変更後) で更新したことを確認します。

  4. マウントが、実行プロファイルに指定された mount コマンドを使用して、管理者役割によって実行されたことを確認します。

    デフォルトの構成では、セキュリティ管理者役割は、マウントのセキュリティ属性を指定し、システム管理者役割は、Solaris の通常のマウントを担当します。

  5. 2.4 以前の Solaris バージョンを実行している NFS サーバー、または Trusted Solaris 1.x を実行している NFS サーバーから、ファイルシステムがマウントされている場合は、mount(1M)vers=2 および proto=udp の各オプションが指定されていることを確認します。