Trusted Solaris 管理の手順

情報のインポート時とエクスポート時の考慮点

情報をエクスポートする (記憶媒体に書き込む) には

テープ装置、フロッピーデバイスなどの媒体デバイスは、デバイス上に格納されている情報の機密ラベルで割り当てます。

情報をインポートする (記憶媒体から読み取る) には

情報の格納に使用されるテープまたはフロッピーが入っているデバイスが読み取り用に割り当てられているときは、テープに実際に貼りつけられたラベルの機密ラベルで、テープデバイスを割り当てます。

tar を使ったデバイス割り当て

ユーザー用のコマンドとしては、tar(1) だけが、Trusted Solaris セキュリティ属性の保管と抽出用に拡張されています。拡張された tar コマンドでは、Trusted Solaris セキュリティ属性を含む tar ファイルの作成、更新、目次のリスト抽出が可能になりました。 特権がなければ、tar コマンドは Trusted Solaris セキュリティポリシー内で作動します。特権を持たない通常のユーザーによって実行された場合、tar は単一の機密ラベルで動作し、現在のワークスペースの機密ラベルで tar ファイルを作成することにしか使えません。また、ユーザーが前もって、記憶媒体を割り当てていない場合は、tar は動作しません。 この場合には、次の図のようなエラーメッセージが表示されます。


trusted4% tar -cvT *
 
tar: /dev/rmt/0: Permission denied

tar には、Trusted Solaris セキュリティ属性の保管と抽出のための新しいオプションが追加されました。

tar コマンドは検出したすべての MLD を処理対象とします。 tar プロセスの機密ラベルより優位でない SLD も対象に含まれます。 適切な無効化特権がある場合には、すべての SLD を処理対象にすることができます。

tar ファイルの補助ファイル

Trusted Solaris の拡張されたセキュリティ属性を持つファイルがアーカイブされる際には、拡張されたセキュリティ属性を持つ補助ファイルが、それぞれのファイルに先行して作成されます。補助ファイルの名前は、対応するアーカイブファイル名の末尾に文字列 "(A)" が付加されたものです。次の図は、セキュリティ属性を保持するための -T オプションと冗長出力を行うための -v オプションを指定した tar で、2 つのファイルをアーカイブした際の出力例を示します。この図の中で示された両方のファイルにはそれぞれの補助ファイルが先行しています。 たとえば、Dtapps.bw.xbm ファイルの前には補助ファイル Dtapps.bw.xbm(A) が出力されています。


a Dtapps.bw.xbm(A) 1 tape blocks
 
a Dtapps.bw.xbm 2 tape blocks
 
a FrontPanel.Workspace.admin.menu.rs(A) 1 tape blocks
 
a FrontPanel.Workspace.admin.menu.rs 593 tape blocks
Trusted Solaris で追加された tar のオプション

それぞれのファイルのセキュリティ属性の保管と抽出のために、-T オプションが追加されました。また、Trusted Solaris 1.x の tar ファイルからセキュリティ属性を抽出するために、-d オプションが追加されました。この d オプションは、-T および -x オプションと一緒に使用します。

-T オプション

-c オプション、-r オプション、-u オプションと一緒に -T オプションを使用すると、tar はディレクトリの MLD 情報と SLD 情報を含む各ファイルのセキュリティ属性を保管します。-x オプションと一緒に -T オプションを使用すると、tar はそのファイルとともにセキュリティ属性も抽出します。

-t オプションと一緒に -T を使用すると、tar ファイルの内容は、1 つのアーカイブファイルを 1 行として、また 1 つの補助ファイルを 1 行として表示されます。

T オプションを x オプションと一緒に使用して、tar ファイルを抽出する場合、tar プログラムは MLD 情報と SLD 情報、拡張されたセキュリティ属性を使って、それぞれのアーカイブファイルを復元します。

-d オプション

-d オプションは、tar ファイルが Trusted Solaris 1.x 形式である場合に使用します。-d オプションは、-t オプション、-T オプション、-x オプションと一緒に使用する場合にのみ有効になります。-t および -T と一緒に -d オプションを使用すると、Trusted Solaris 1.x 形式の tar ファイルの内容が、各補助ファイルおよびアーカイブされたファイルごとに 1 行として表示されます。

-d オプションを -x オプションと一緒に使用して tar ファイルを抽出する場合、tar プログラムは Trusted Solaris 1.x の形式に従って入力 tar ファイルを処理します。x および T と一緒に -d オプションを使用すると、Trusted Solaris システム上で有効な、適切な MLD 情報と SLD 情報、そしてその他の拡張されたセキュリティ属性は、アーカイブされた各ファイルが復元された時点で適用されます。

-c と一緒に -d オプションを使用すると、その他の情報とともに tar ファイルの中に ACL が作成されます。


注 -

ACL を含む tar ファイルが前のバージョンの tar によって抽出されると、エラーが発生します。


「テープデバイスの割り当てと、tar を使ってテープに書き込む情報のセキュリティ属性を保管する方法」では、-cT オプションを指定した tar を使って、拡張されたセキュリティ属性を保管する tar ファイルを作成する方法を説明しています。詳細については、tar(1) のマニュアルページを参照してください。

以前のバージョンのTrusted Solaris オペレーティング環境で作成されたファイルの抽出

tar ファイルを抽出する際には、その tar ファイルが作成されたときに有効であった label_encodings(4) ファイルと現在インストールされている label_encodings ファイルとの間に互換性がなくてはなりません。Trusted Solaris 1.x の tar ファイルが Trusted Solaris 2.5 またはそれ以降のシステム上で復元された場合、SYSTEM_HIGH ラベルは ADMIN_HIGH ラベルに、SYSTEM_LOW ラベルは ADMIN_LOW ラベルにマップされます。Trusted Solaris 1.x での特権とファイル監査マスクは復元されたファイル上には適用されません。これは、Trusted solaris 1.x の特権とファイル監査マスクの形式が、Trusted Solaris の以降のバージョンでの同等のセキュリティ属性に対して互換性を持っていないためです。