新規デバイスへのポリシーの設定と既存デバイスのポリシーの修正

1. セキュリティ管理者役割になって、ADMIN_LOW ワークスペースに移動します。

   必要に応じて、「ログイン後、特定の管理役割になるには」を参照してください。

2. そのデバイスの名前 (driver_name)、マイナー名 (minor_name)、デバイス特殊ファイルの名前を決めます。

   1. 新しいデバイスに対しては、次のことを行います。

      1. デバイス用のハードウェアのマニュアルを調べて、デバイス名、マイナー名、すべての物理的デバイス名を控えておきます。

         『Writing Device Drivers』(800-6502) も参照してください。

      2. /etc/security/device_maps ファイルにあるデバイスに対する新しいエントリを作成します。

         デバイスには任意の名前を付けることができます。3 つめのフィールドには、そのデバイスに対する物理的デバイス名をすべてリストしてください。

         cdrom_0:¥ sr:¥ /dev/sr0 /dev/rsr0 /dev/dsk/c0t6d0s0 /dev/dsk/c0t6d0s1 /dev/dsk/c0t6d0s2 /dev/dsk/c0t6d0s3 /dev/dsk/c0t6d0s4 /dev/dsk/c0t6d0s5 /dev/dsk/c0t6d0s6 /dev/dsk/c0t6d0s7 /dev/rdsk/c0t6d0s0 /dev/rdsk/c0t6d0s1 /dev/rdsk/c0t6d0s2 /dev/rdsk/c0t6d0s3 /dev/rdsk/c0t6d0s4 /dev/rdsk/c0t6d0s5 /dev/rdsk/c0t6d0s6 /dev/rdsk/c0t6d0s7:¥

         この例は cdrom_0 デバイスに対するすべての物理デバイスと論理デバイスの名前を示しています。

   2. 既存のデバイスについては、デバイスをロング形式でリスト (ls-l)して、デバイス名とマイナー名を確認してください。

      # ls -l /dev/dsk/c0t6d0s2 lrwxrwxrwx 1 root root 51 Feb 29 1998 /dev/dsk/c0t6d0s2 -> ../../devices/sbus@1f,0/SUNW,fas@e,8800000/sd@6,0:c

      パス名の最後の部分にある、@ 文字の前の文字列 (上記の例の sd) は、ドライバー名で、コロンの後の文字列 (上記の例の c) はマイナー名です。

3. 「管理用エディタ」アクションを使用して、編集用に /etc/security/tsol/device_policy ファイルを開きます。

   必要に応じて、「管理用エディタアクションを使用してファイルを編集するには」を参照してください。

4. デバイスのデフォルトポリシーがサイトのセキュリティポリシーに合致しないときは、新しいデバイス用に固有のエントリまたはワイルドカードのエントリを作成するか、すでに指定されたデバイス用の既存のエントリを修正します。

   次の表に、デフォルトのデバイスポリシーを示します。他のポリシー設定を指定する方法については、device_policy(4) マニュアルページを参照してください。

   表 15-6 デフォルトのデバイスポリシー

   ポリシーの種類	内容	デフォルトポリシー
   data_mac_policy	デバイスへのアクセスに必要な SL	読み取りや書き込みを行うためには、プロセスの SL はデバイスの SL と必ず同等
   attr_mac_policy	デバイス属性へのアクセスの処理方法 acl(2)、chmod(2)、chown(2)、 stat(2) を使用	デバイス属性への読み取りアクセスでは、プロセスの SL はデバイスの SL より優位。デバイス属性への書き込みアクセスでは、プロセスの SL はデバイスの SL と同等
   open_priv	デバイスファイルを開く特権	なし
   str_type type	STREAMS デバイスの場合のみ、カーネル STREAMS ヘッドによる STREAMS メッセージの制御方法を指定します。	デバイスタイプストリーム。ラベルなしの STREAMS メッセージも使用可能

5. ファイルの内容を書き込んで、エディタを終了します。