デバイスアクセスポリシー
Trusted Solaris システムでは、他の UNIX システムの場合と同様、デバイスはデバイス特殊ファイルというファイルで表されます。また、デバイスに対する任意アクセス規則も、他の種類のファイルに適用されるのと同じ UNIX のアクセス権ビットに基づいています。一方、デバイスに適用される必須アクセス規則は、ファイルやディレクトリに適用される規則とは多少異なっています。次の表は、デフォルトの必須アクセス制御ポリシーを示したものです。システムに新しいデバイスが追加されると、これらのポリシーが自動的に適用されます。
表 15-1 デフォルトのデバイスアクセスポリシー| ポリシーの移動 | 内容 | デフォルトポリシー |
|---|---|---|
| data_mac_policy | デバイスへのアクセスに必要な SL | 読み取りや書き込みを行うためには、プロセスの SL はデバイスの SL と必ず同等 |
| attr_mac_policy | デバイス属性へのアクセスに必要な SL (ac(2)、chmod(2)、 chown(2)、stat(2) を使用 | デバイス属性への読み取りアクセスでは、プロセスの SL はデバイスの SL より優位。デバイス属性への書き込みアクセスでは、プロセスの SL はデバイスの SL と同等 |
| open_priv | デバイスファイルを開く特権 | なし |
| str_type type | STREAMS デバイスの場合のみ、 カーネル STREAMS ヘッドによる STREAMS メッセージの制御方法を指定 | デバイスタイプストリーム。ラベルなしの STREAMS メッセージも使用可能 |
セキュリティ管理者役割は、/etc/security/tsol/device_policy ファイルを編集し、デフォルトポリシーを変更して、ホストごとに新しいポリシーを定義することができます。使用するキーワードと値については、device_policy(4) のマニュアルページを参照してください。また、「新規デバイスへのポリシーの設定と既存デバイスのポリシーの修正」も参照してください。
- © 2010, Oracle Corporation and/or its affiliates