Trusted Solaris のラベル管理

機密ラベル (SL): 使い方とフォーマット

ファイルやディレクトリの機密ラベルは、固定されたセキュリティラベルです。新規に作成されたファイルやディレクトリには、その作成プロセスの機密ラベルが割り当てられます。通常、それは、プロセスを開始したワークスペースの機密ラベルです。機密ラベルは、次のような人たちによって明示的なアクションがとられない限り、同じ状態を保ちます。

オブジェクトの所有者

ラベルを変更する承認については、「SL の昇格および降格の承認」を参照してください。

機密ラベルのコンポーネント

各機密ラベルは、以下の表に示すように 1 個の格付けと 0 個以上のコンパートメントから構成されています。ここで name は名前、word は語句を示します。

表 1-5 機密ラベルのコンポーネント


格付け	コンパートメント
name	[word1, word2, ..., word`N`]

次の表の例は、ある機密ラベルでは、コンパートメントがなく、格付けは INTERNAL_USE_ONLY であるのに対して、もう一方の機密ラベルは、格付けは NEED_TO_KNOW で、コンパートメントは ENGINEERING と SALES の 2 つであることを示しています。

表 1-6 機密ラベルのコンポーネント例


格付け	コンパートメント
INTERNAL_USE_ONLY	なし
NEED_TO_KNOW	ENGINEERING, SALES

機密ラベルの内部表現

格付けフィールド以外にも、各機密ラベルには、表 1-7 に示すようなコンパートメント用の 256 ビットフィールドがあります。ラベルは、1 つ以上のコンパートメントを含みます。ただし、まったく含まない場合もあります。各コンパートメント語句には、1 ビット以上のコンパートメントビットが割り当てられています。同じコンパートメントビットを、複数の語句に割り当てることが可能です。

表 1-7 格付けおよびコンパートメントのコンポーネントに使用するビット


格付けフィールド	コンパートメントフィールド
15 ビット 32,767 個の値値は 256 個に制限される	256 ビットコンパートメントとビットの可能な組み合せ: 10 の 70 乗

SL の昇格および降格の承認

機密ラベルの変更が行えるのは、プロファイルのいずれか 1 つに適切な承認を持つユーザーまたは管理者だけです。機密ラベルを上位のものに優先させることを「機密ラベルのファイルの昇格」といい、下位のものに優先させることを「機密ラベルのファイルの降格」といいます。auth_desc(4) も参照してください。

ユーザーが 1 つのラベルに制限される理由

システムが 1 つの機密ラベルだけで実行するように設定されていると、そのシステムの管理的な立場にないユーザーアカウントの作業はすべてその 1 つの機密ラベルに制限されます。このようなシステムでは、すべてのユーザーアカウントの認可上限は、必然的にそのアカウントの最下位の機密ラベルと同等に設定されます。

複数の機密ラベルで実行するシステムでは、セキュリティ管理者役割がアカウントの認可上限を最下位の機密ラベルと同等に設定していれば、すべてのアカウントの作業が 1 つの機密ラベルに制限されます。

複数の機密ラベルを含むアカウントラベルの範囲を持つアカウントをセキュリティ管理者役割が設定していれば、ユーザーは任意に作業中のセッションを 1 つの機密ラベルに限定できます。詳細については、次の項の「複数の SL を持つアカウントによる各セッションの SL の指定方法」を参照してください。

セッションの許可上限の指定方法

ユーザーのアカウントが複数のラベルを使用できるように設定されている場合、ユーザーがログインして Trusted Solaris ホスト上でセッション開始直後に次の方法によってセッション中に使用できる機密ラベルを指定できます。

1 つの機密ラベルにセッションを制限する

セッション認可上限をユーザー自身の認可上限と同じにする

セッション認可上限をユーザー自身の認可上限よりも低くする

選択された 1 つのラベルまたはセッション認可上限は、ログインからログアウトまでセッション中は、一貫して有効です。セッション中、ユーザーは任意の機密ラベルで作業を行うことができます。この機密ラベルはセッション認可上限よりも下位にありますが、ユーザーの最下位のラベルよりは上位にあります。「有効なラベル」で説明するように、機密ラベルは、label_encodings(4) ファイルに定義された有効なラベルでなくてはなりません。

ラベル付けされたワークスペース

Trusted Solaris のウィンドウシステムは、ラベルを認識する CDE ウィンドウシステムです。CDE のワークスペースは、 1 つのセッションを通して、ユーザーが複数の機密ラベルで作業できるようにする上で重要な役割を果たします。

ユーザーが初めてログインすると、起動した最初のワークスペースにそのユーザーの最下位の機密ラベルが割り当てられます (フロントパネルのワークスペーススイッチ部分に同じ最下位の機密ラベルで新たに 3 つの追加ワークスペースのボタンが作成される)。ユーザーは、新たにワークスペースを起動して、任意のワークスペースの機密ラベルを変更することができますが、ワークスペースの機密ラベルをセッション認可上限より上位に設定することはできません。これによってユーザーは、セッション認可上限より高い機密ラベルでは作業ができなくなります。ワークスペースの機密ラベルは、そのワークスペースで作成される新しい各ウィンドウに割り当てられます。

マルチレベルセッションを許容されたユーザーは、任意のワークスペースのラベルを付け直すことができます。ユーザーはフロントパネルのスタイルマネージャの「起動 (Startup)」ダイアログボックスを使用して、ログイン時に起動するワークスペースとアプリケーションを指定することができます。2 回目以降のログインで起動する最初のワークスペースはユーザーによって指定できるため、最初のログイン以降のログインで起動する最初のワークスペースの機密ラベルは、アカウントのラベルの範囲内であれば、ユーザーが選択する任意の機密ラベルにすることができます。