必須アクセス制御

必須アクセス制御 (MAC) は、ファイル、ディレクトリ、デバイス、その他アクセス対象となるものの機密ラベルを、それらにアクセスしようとしているプロセスの機密ラベルと比較することに基づいて、アクセスを制御することです。プロセスの機密ラベルは、一般的に、コマンドを起動するワークスペースの機密ラベルと同じです。ディレクトリとデバイスは、UNIX システムにおいてはファイルと同様に管理されますが、ディレクトリおよびデバイスに適用される必須アクセス制御 (MAC) の規則は、ファイルに適用される MAC ルールとは異なります。書き込みのためにファイルがアクセスされる前に、ファイルの機密ラベルがプロセスの機密ラベルより優位であることが MAC により検査され、「上位書き込み」と呼ばれるポリシーが適用されます。プロセスの認可上限より上位の機密ラベルを持つファイルに対してプロセスは書き込みを行うことができません。なお、プロセスの認可上限はセッションの認可上限に設定されます。(上位書き込みポリシーでは、プロセスと書き込み対象のファイルの機密ラベルが同等であることが認められます。) 書き込みのためにディレクトリまたはデバイスがアクセスされる前にディレクトリまたはデバイスの機密ラベルがプロセスの機密ラベルと同等であることが MAC により検査され、「同位書き込み」と呼ばれるポリシーが適用されます。表示 (読み取りまたは検索) のためにファイルまたはディレクトリがアクセスされる前に、プロセスの機密ラベルがファイルまたはディレクトリの機密ラベルより優位であることが MAC により検査され「下位読み取り」と呼ばれるポリシーが適用されます。表示のためにデバイスがアクセスされる前に、プロセスの機密ラベルがデバイスの機密ラベルと同等であることが MAC により検査され、「同位読み取り」と呼ばれるポリシーが適用されます。なお、下位読み取りポリシーには同位読み取りも含まれます。

ある機密ラベルを持つプロセスが、別の機密ラベルを持つ「ファイル」に読み取りまたは書き込みを行う際には、上位書き込み、下位読み取り (WURD) という規則が適用されます。ある機密ラベルを持つプロセスが、別の機密ラベルを持つ「ディレクトリ」に書き込みを行う際には、同位書き込み、下位読み取りという規則が適用されます。ある機密ラベルを持つプロセスが、別の機密ラベルを持つ「デバイス」に書き込みを行う際には、同位読み取り、同位書き込みという規則が適用されます。