Trusted Solaris 管理の手順

デバイス管理手順

テープデバイスの割り当てと、tar を使ってテープに書き込む情報のセキュリティ属性を保管する方法

この手順は、プロファイルの中に tar コマンドを持つユーザーであれば誰でも実行できます。

  1. デバイス割り当てマネージャを使用して、テープデバイスを割り当てます。

    この例では、mag_tape_0 と名付けられたデバイスを割り当てます。デバイスを割り当てる方法と、デバイスに割り当てるラベルを指定する方法の詳細は「Trusted Solaris ユーザーズガイド」を参照してください。

  2. テープに現在のプロセスの機密ラベルを表示した物理的なラベルが付けられていることを確認し、プロンプトに応じてテープをテープデバイスに挿入します。

    この例ではウィンドウは「Device Allocation for mag_tape0」という名前のウィンドウが表示されます。


    st_clean: Insert tape into mag_tape0
     
    st_clean: Make sure the tape is labeled CONFIDENTIAL
     
    Press RETURN to quit window...
  3. -T セキュリティオプションを指定して、tar コマンドを実行します。


    trusted% tar -cvT tartest
    a tartest/(A) 1K
     
    a tartest/ 0K
     
    a tartest/file1(A) 1K
     
    a tartest/file1 0K
     
    a tartest/mld1/(A) 1K
     
    a tartest/mld1/ 0K
     
    a tartest/mld1/(A) 1K
     
    a tartest/mld1/ 0K
     
    a tartest/mld1/file50(A) 1K
     
    a tartest/mld1/file50 1K
     
    . . . 
  4. デバイス割り当てマネージャを使用してデバイスの割り当てを解除します。

    プロンプトに応じて、デバイスからテープを取り出してください。



    Please eject the tape in mag_tape_0

  5. テープに入れられた情報が、テープに付けた物理ラベル上のセキュリティレベルで保護されるようにします。

新規デバイスへのポリシーの設定と既存デバイスのポリシーの修正

  1. セキュリティ管理者役割になって、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. そのデバイスの名前 (driver_name)、マイナー名 (minor_name)、デバイス特殊ファイルの名前を決めます。

    1. 新しいデバイスに対しては、次のことを行います。

      1. デバイス用のハードウェアのマニュアルを調べて、デバイス名、マイナー名、すべての物理的デバイス名を控えておきます。

        Writing Device Drivers』(800-6502) も参照してください。

      2. /etc/security/device_maps ファイルにあるデバイスに対する新しいエントリを作成します。

        デバイスには任意の名前を付けることができます。3 つめのフィールドには、そのデバイスに対する物理的デバイス名をすべてリストしてください。


        cdrom_0:¥
                sr:¥
                /dev/sr0 /dev/rsr0 /dev/dsk/c0t6d0s0 /dev/dsk/c0t6d0s1
        /dev/dsk/c0t6d0s2 /dev/dsk/c0t6d0s3 /dev/dsk/c0t6d0s4 /dev/dsk/c0t6d0s5
        /dev/dsk/c0t6d0s6 /dev/dsk/c0t6d0s7 /dev/rdsk/c0t6d0s0 /dev/rdsk/c0t6d0s1
        /dev/rdsk/c0t6d0s2 /dev/rdsk/c0t6d0s3 /dev/rdsk/c0t6d0s4 /dev/rdsk/c0t6d0s5
        /dev/rdsk/c0t6d0s6 /dev/rdsk/c0t6d0s7:¥

        この例は cdrom_0 デバイスに対するすべての物理デバイスと論理デバイスの名前を示しています。

    2. 既存のデバイスについては、デバイスをロング形式でリスト (ls-l)して、デバイス名とマイナー名を確認してください。


      # ls -l /dev/dsk/c0t6d0s2
       
      lrwxrwxrwx    1  root    root   51 Feb 29 1998  /dev/dsk/c0t6d0s2
      -> ../../devices/sbus@1f,0/SUNW,fas@e,8800000/sd@6,0:c

      パス名の最後の部分にある、@ 文字の前の文字列 (上記の例の sd) は、ドライバー名で、コロンの後の文字列 (上記の例の c) はマイナー名です。

  3. 「管理用エディタ」アクションを使用して、編集用に /etc/security/tsol/device_policy ファイルを開きます。

    必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

  4. デバイスのデフォルトポリシーがサイトのセキュリティポリシーに合致しないときは、新しいデバイス用に固有のエントリまたはワイルドカードのエントリを作成するか、すでに指定されたデバイス用の既存のエントリを修正します。

    次の表に、デフォルトのデバイスポリシーを示します。他のポリシー設定を指定する方法については、device_policy(4) マニュアルページを参照してください。

    表 15-6 デフォルトのデバイスポリシー
     ポリシーの種類 内容 デフォルトポリシー
    data_mac_policy デバイスへのアクセスに必要な SL 読み取りや書き込みを行うためには、プロセスの SL はデバイスの SL と必ず同等
    attr_mac_policyデバイス属性へのアクセスの処理方法 acl(2)chmod(2)chown(2)stat(2) を使用 デバイス属性への読み取りアクセスでは、プロセスの SL はデバイスの SL より優位。デバイス属性への書き込みアクセスでは、プロセスの SL はデバイスの SL と同等
    open_priv デバイスファイルを開く特権 なし
    str_type type STREAMS デバイスの場合のみ、カーネル STREAMS ヘッドによる STREAMS メッセージの制御方法を指定します。 デバイスタイプストリーム。ラベルなしの STREAMS メッセージも使用可能

  5. ファイルの内容を書き込んで、エディタを終了します。

デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示するには

  1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。あるいは、「デバイス属性を構成」 承認または 「デバイスを回収または再設定」 承認を持つユーザーとしてログインします。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. トラステッドパス (TP) メニューから「デバイスを割り当てる (Allocate Device)」オプションを選択するか、またはフロントパネルの「ツール (Tools)」サブパネルからデバイス割り当てマネージャ (Device Allocation Manager)を起動します。

    Graphic
  3. 「デバイスの管理 (Device Administration)」ボタンをクリックすると、デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスが表示されます。

    Graphic
  4. 目的のデバイスの名前を選択して強調表示にし、「状態 (State:)」フィールドでデバイスの状態を確認します。

  5. デバイスの状態が「エラー状態」である場合、「割り当てエラー状態を解決するには」の処理を行なって、エラー状態を解決してください。

  6. デバイスの状態が「割り当て済み (Allocated)」である場合、次のいずれかの処理を行います。

    1. デバイスの割り当て解除を行うように所有者に連絡します。

    2. 「デバイス割り当てを強制解除するには」の処理を行なって、割り当てを解除します。

  7. デバイスを構成するには、「既存のデバイスを構成するには」の処理を行います。

割り当てエラー状態を解決するには

  1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。あるいは、「デバイスを回収または再設定」 承認を持つユーザーとしてログインします。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを開きます。

    必要に応じて、「デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示するには 」を参照してください。

  3. デバイス名を強調表示にします。

  4. 「状態 (State)」フィールドに「エラー状態」と示されている場合、「再利用 (Reclaim)」をクリックし、エラー状態を回復します。

  5. 「了解 (OK)」をクリックして変更を保存し、ダイアログボックスを閉じます。

デバイス割り当てを強制解除するには

  1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。あるいは、「デバイスを回収または再設定」 承認を持つユーザーとしてログインします。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを開きます。

    必要に応じて、「デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示するには 」を参照してください。

  3. デバイス名を強調表示にします。

  4. 「状態 (State)」フィールドに「割り当て済み (Allocated)」と示されている場合、「解除 (Revoke)」をクリックし、強制的にデバイスの割り当てを解除します。

  5. 「了解 (OK)」をクリックして変更を保存し、ダイアログボックスを閉じます。

新しい割り当て可能デバイスまたは割り当て不可能デバイスを追加するには

必要に応じて、Solaris の『Installing Device Drivers』マニュアルの指示に従って処理を行い、次に、Trusted Solaris 固有の手順を実行します。

  1. 新しい割り当て可能デバイスを追加する場合、必要に応じてデバイス clean スクリプトを作成します。

    Xylogics テープドライブまたは Archive テープドライブの場合は、デフォルトの st_clean スクリプトをそのまま使用するか、サイトのセキュリティポリシーに合わせて修正することができます。それ以外のデバイスの場合には、新しいデバイス clean スクリプトが必要です。必要に応じて 「デバイス clean スクリプトを変更・追加するには」を参照してください。

  2. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。あるいは、「デバイス属性を構成」 承認を持つユーザーとしてログインします。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  3. 「割り当て可能なデバイスの追加 (Add Allocatable Device)」アクションを実行します。

    必要に応じて、「管理アクションを起動するには」を参照してください。

  4. 「割り当て可能なデバイスの追加 (Add Allocatable Device)」アクションを使って、デバイス割り当てデータベースのデバイス用のエントリの作成または更新を行い、補助ファイルを作成します。

    1. デバイスの名前を入力します。

    2. デバイスの種類を入力します。

    3. そのデバイスに関連するすべてのデバイス特殊ファイルのパス名をスペースで区切って入力します。

    4. 入力内容を保存し、終了します。

  5. ラベル範囲、デバイス clean スクリプトのパス名、デバイス割り当ての可否、割り当てに必要な承認などのデフォルト設定を変更するには、デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを使用します。

    必要に応じて、「デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示するには 」を参照してください。

    次の表は、「割り当て可能なデバイスの追加 (Add Allocatable Device)」アクションを使用してデバイスを追加したときや、 add_allocatable(1M) コマンドを使用して作成されたデバイスに値が指定されなかったときに有効になるデフォルト値を示します。

    表 15-7 デバイスのデフォルト値
     値 デフォルト
     最下位のラベルADMIN_LOW
     最上位のラベルADMIN_HIGH
     clean プログラム/bin/true
     割り当てを行えるユーザー すべてのユーザー (All Users)
     承認 なし (None)

既存のデバイスを構成するには


注 -

デバイス割り当てマネージャを使用して管理するには、device_maps(4) ファイルと、device_allocate(4) ファイルにデバイスのエントリがあり、/etc/security/dev ディレクトリに補助ファイルがあることが必要です。必要に応じて、「新しい割り当て可能デバイスまたは割り当て不可能デバイスを追加するには」の処理を行なってください。


  1. セキュリティ管理者役割になり、ADMIN_LOW ワークスペースに移動します。あるいは、「デバイス属性を構成」 承認を持つユーザーとしてログインします。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを開きます。

    必要に応じて、「デバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示するには 」を参照してください。

  3. 設定したいデバイスの名前を選択し、「構成 (Configure)」ボタンをクリックします。

    下の図に示されているように、デバイス割り当てマネージャの「構成 (Configuration)」ダイアログボックスが表示されます。

    Graphic
  4. 最下位機密ラベルのデフォルト ADMIN_LOW を変更する必要がある場合は、「最下位のラベル (Min Label)」ボタンをクリックし、ラベルビルダーで新しいラベルを指定します。

  5. 最上位機密ラベルのデフォルト ADMIN_HIGH を変更する必要がある場合は、「最上位のラベル (Max Label)」ボタンをクリックし、ラベルビルダーで新しいラベルを指定します。

  6. device_clean(1M) スクリプトの名前を変更する必要がある場合は、「clean プログラム」フィールドに新しいパス名を入力します。

  7. 「割り当てを行えるユーザー (Allocatable By)」フィールドを変更する必要がある場合は、マウスの右ボタンでメニューを開いて、次の 3 つの選択肢のうちいずれかを選択します。


    承認されたユーザー (Authorized users)
    すべてのユーザー (All users)
    なし (No users)

    注意 - 注意 -

    プリンタ、フレームバッファー、その他の割り当て可能にできないデバイスを設定するときは、このフィールドで必ず「なし (No users)」を指定してください。デバイスが「割り当てを行えるユーザー: 承認されたユーザー」のように指定されている場合、「承認 (Authorizations)」ボタンが使用可能になり、「承認 (Authorizations)」フィールドにはデフォルトで「デバイスを割り当てる (allocate device)」が表示されます。


  8. 必要に応じて、新しいデバイスを割り当てるための承認を追加します。

    新しい承認を追加する方法については、「拡張可能なセキュリティ機能の追加」を参照してください。システムに新しい承認を追加すると、次にデバイス割り当てマネージャの「承認 (Authorizations)」ダイアログボックスが表示されるときに、「必須でない (Not Required)」リストにその承認が表示されます。「承認 (Authorizations)」ボタンは、デバイスが「割り当てを行えるユーザー: 承認されたユーザー」のように指定されている場合のみ使用可能になります。「承認 (Authorizations)」フィールドのデフォルトは、「デバイスを割り当てる」です。

  9. 必要に応じて、デフォルトの「デバイスを割り当てる」承認を変更します。

    1. 「承認 (Authorizations)」ボタンをクリックします。

      デバイス割り当てマネージャの「承認 (Authorizations)」ダイアログボックスが表示されます。

    2. デフォルトの「デバイスを割り当てる」承認を削除する必要がある場合は、「必須 (Required)」リストで承認を選択し、左矢印ボタンで「必須でない (Not Required)」リストに移動させます。

    3. 承認を追加したり、削除した承認を置き換える必要がある場合は、「必須でない (Not Required)」リストで承認を選択し、右矢印ボタンで「必須 (Required)」リストに移動させます。

    4. 「了解 (OK)」をクリックして変更内容を保存し、「承認 (Authorizations)」ダイアログボックスを閉じます。

  10. デバイス割り当てマネージャを終了します。

    1. 「構成 (Configuration)」ダイアログボックスで「了解 (OK)」をクリックして変更内容を保存し、ダイアログボックスを閉じます。

    2. 「管理 (Administration)」ダイアログボックスで「了解 (OK)」をクリックしてダイアログボックスを閉じます。

    3. デバイス割り当てマネージャの左上角のマイナス (-) をダブルクリックして終了します。

  11. 必要に応じて、デバイスにデフォルト以外のポリシーを設定します。

    デフォルトポリシーの変更方法については、「新規デバイスへのポリシーの設定と既存デバイスのポリシーの修正」を参照してください。

アカウントにデバイス関連の承認を割り当てるには

  1. セキュリティ管理者役割になり、ユーザーマネージャを起動します。

    必要に応じて、第 1 章「特定の役割への移行と役割ワークスペースでの作業」および「管理アプリケーションを起動するには」第 5 章「ユーザーマネージャを使ったアカウントの設定」を参照してください。

  2. 「プロファイル (Profiles)」ボタンをクリックしてプロファイルダイアログボックスを開き、ユーザーの実行プロファイルのいずれかに、必要なデバイス割り当て承認やその他のデバイス関連承認が含まれていることを確認します。

    1. 必要に応じて、デバイス割り当て承認を含むプロファイルを「利用可能 (Available)」リストに移動します。

      デフォルトが変更されていない場合は、次の表に示すプロファイルの 1 つをユーザーのプロファイルリストに追加すると、そのユーザーに「デバイスを割り当てる」承認が与えられます。

      表 15-8 デフォルトデバイス割り当て承認とそれを含むデフォルトプロファイル
       承認の目的 承認名 デフォルトプロファイル
       デバイス割り当て デバイスを割り当てる All Authorizations
         Convenient Authorizations
         Device Management
         Media Backup
         Media Restore
         Object Label Management
         Software Installation

    2. 必要に応じて、「デバイスを回収または再設定」 承認を含むプロファイルを「利用可能 (Available)」リストに移動します。


      注 -

      「デバイスを回収または再設定」 承認は、管理プロファイルにあります。管理役割アカウント以外には付与しないでください。


      次の表に、「デバイスを回収または再設定」承認とそれを含むデフォルトのプロファイルを示します。

      表 15-9 「デバイスを回収または再設定」承認、それを含むデフォルトのプロファイル、それを割り当てるデフォルトの役割
       承認の目的 承認名 デフォルトプロファイル プロファイルを割り当てるデフォルトの役割
       デバイスの割り当ての強制解除、またはデバイスの割り当てエラー状態の訂正 デバイスを回収または再設定

      Device Management 

      All Authorizations 

      セキュリティ管理者役割 

      デフォルトでは割り当てられない 

    3. 必要に応じて、「デバイスを回収または再設定」 承認を含むプロファイルを「利用可能 (Available)」リストに移動します。

      次の表に、「デバイスを回収または再設定」承認とそれを含むデフォルトのプロファイルを示します。

      表 15-10 「デバイスの属性を構成」承認、それを含むデフォルトのプロファイル、それを割り当てるデフォルトの役割
       承認の目的 承認名 デフォルトプロファイル プロファイルを割り当てるデフォルトの役割
       デバイスの device_clean スクリプト、ラベル範囲、必要な属性など、各属性を設定するデバイスの属性と構成

      Device Security 

      Printer Security  

      All Authorizations 

      セキュリティ管理者役割 

      セキュリティ管理者役割 

      デフォルトでは割り当てられない 


      注 -

      デフォルトの実行プロファイルの中に、再構成するアカウントに適切なものがない場合、セキュリティ管理者役割が、デバイス割り当ての承認を含む新しいプロファイルを作成することができます。このプロファイルには、デバイス割り当ての承認だけを含めることも、プロファイルのユーザーが目的の作業を行うために必要な他のコマンド (allocatedeallocatetar などなどのコマンド) を一緒に含めることもできます。新しいプロファイルの作成方法については、本書の第 8 章「ユーザーおよび役割のための実行プロファイルの管理」で説明しています。


割り当ての後、ファイルマネージャが自動表示されないようにするには

  1. セキュリティ管理者役割になって、ADMIN_LOW ワークスペースに移動します。

    必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

  2. 「管理用エディタ」アクションを使って編集用に rmmount.conf ファイルを開きます。

    必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

  3. CD-ROMとフロッピーのどちらか、または両方の設定をファイルマネージャを通知するために、アクションをコメントアウトにします。

    この例では CD-ROM とフロッピーデバイスの両方について、action_filemgr.so を含む行がコメントアウトにされています。


    # action cdrom action_filemgr.so
    # action floppy action_filemgr.so

デバイス clean スクリプトを変更・追加するには

  1. 物理デバイス中のすべての使用可能データを消去し、正常終了時に 0 を返すスクリプトを記述します。

  2. 取り外し可能な媒体を使用するデバイスについては、ユーザーが媒体を取り出していない場合、スクリプトで取り出すようにし、媒体が取り出されないときは、その媒体を割り当てエラー状態にするようにします。

  3. このスクリプトを ADMIN_LOW/etc/security/lib ディレクトリに格納します。

  4. デバイス割り当てマネージャを使用して、デバイスに新しいスクリプトを指定します。

    1. ADMIN_LOW ワークスペースで、システム管理者としてデバイス割り当てマネージャ を起動します。

      トラステッドパス (TP) メニューの「デバイスを割り当てる (Allocate Device)」オプションを選択するか、フロントパネルの「ツール (Tools)」サブパネルから「デバイス割り当てマネージャ (Device Allocation Manager)」を起動します。

    2. 「デバイスの管理 (Device Administration)」ボタンをクリックしてデバイス割り当てマネージャの「管理 (Administration)」ダイアログボックスを表示します。

    3. 「デバイス (Devices)」リストで、新しいスクリプトを割り当てるデバイスの名前をポイントし、強調表示にします。

    4. 「構成 (Configure)」ボタンをクリックしてデバイス割り当てマネージャの「構成(Configuration)」ダイアログボックスを表示します。

    5. device_clean(1M) スクリプトの名前を変更する必要がある場合は、「clean プログラム」の右側のテキスト入力フィールドの名前を編集します。

    6. 「構成 (Configure)」ダイアログボックスで「了解 (OK)」をクリックし、ラベルの変更を保存します。次に、「管理 (Administration)」ダイアログボックスで「了解 (OK)」をクリックしてダイアログボックスを閉じてから、デバイス割り当てマネージャを終了します。