Trusted Solaris 管理の手順

固定属性ファイルシステム

固定属性ファイルシステムをマウントするとき、セキュリティ管理者役割は mount -S コマンドをコマンド行から入力するか、 vfstab(4) ファイルを使用して、セキュリティ属性を指定できます。マウント時に指定された属性は、ファイルまたはディレクトリが属性を持っていなければ、マウントされたファイルシステム内のすべてのファイルおよびディレクトリに適用されます。ファイルまたはディレクトリ上のすべての属性が使用されます。たとえば、UNIX ファイルシステム内のファイルおよびディレクトリはユーザー ID (UID) とグループ ID (GID) を持っているため、ファイルシステムオブジェクトがすでに持っている UID と GID が使われます。ファイルまたはディレクトリが属性を持っておらず、マウント時に何も指定されない場合、デフォルト (表 11-4 を参照) が適用されます。

固定属性ファイルシステムでは、オブジェクトがファイルシステム上に存在するかぎり、セキュリティ属性はオブジェクト上で変更できません。

固定属性ファイルシステムは、Trusted Solaris ホストにマウントされるとき、単一の機密ラベルを持つよう構成されるので、「単一ラベルファイルシステム」と呼ばれます。

次の例は、Solaris 動作環境で動作する NFS サーバーから /spare と呼ばれる固定属性ファイルシステムを NFS マウントするコマンド行を示したものです。このサービスは、outside サービスと呼ばれます。/spare には、[INTERNAL_USE_ONLY] という機密ラベルが付けられており、次のコマンド行に示すように、-S オプション付きの mount が使われています。


$ mount -F nfs -S "slabel=INTERNAL_USE_ONLY; outside:/spare /spare 

例えば、マウントされたファイルシステム /spare に、test と呼ばれるファイルがある場合、 /spare/test の機密ラベルは誰も変更できません。また、その情報ラベルを浮上させることもできません。ただし、/spare/test/tmp または /export/home/secadmin などの別のディレクトリにコピーすると、そのラベルを変更することができます。

固定属性ファイルシステム (Solaris システムのファイルシステムなど) がマウントされていると、マウント時に指定されていないセキュリティ属性には、デフォルト値が割り当てられます。マウント時の属性値が mount コマンド行にもファイルシステムの vfstab_adjunct エントリにも指定されていないとき、属性をサポートしていない固定属性ファイルシステムに使用される値を表 11-4 に示します。

表 11-4 固定ファイルシステムに割り当て可能な属性
 属性 デフォルト値
 UID UID がファイルシステムのオブジェクトとして定義されていないときは、割り当てが必要。 フロッピーから DOS ファイルシステムをマウントするときなど。
 GID GID がファイルシステムのオブジェクトとして定義されていないときは、割り当てが必要。 フロッピーから DOS ファイルシステムをマウントするときなど。
 モード UID がファイルシステムのオブジェクトとして定義されていないときは、割り当てが必要。 フロッピーから DOS ファイルシステムをマウントするときなど。
 属性フラグ なし
 MLD 接頭辞 空の文字列
 機密ラベル範囲 ADMIN_LOW から ADMIN_HIGH
 機密ラベル

固定ファイルシステムが CD-ROM またはフロッピーディスクからマウントされている場合: マウントポイントの機密ラベル (マウント処理を実行しているプロセスの機密ラベルに変更される) 

固定ファイルシステムが NFS サーバーからマウントされている場合: デフォルトの機密ラベル (管理者役割がトラステッドネットワークエントリ内でサーバーに割り当てる) 

 アクセス ACL なし
 強制された特権セット なし
 許容された特権セット なし