test

Oracle Solaris Trusted Extensions ユーザーズガイド

第 4 章 Trusted Extensions の構成要素 (リファレンス)

この章では、Solaris Trusted Extensions の主な構成要素について説明します。この章で扱う内容は、次のとおりです。

Trusted Extensions の代表的な機能

ログインプロセスが正常に完了すると、第 2 章Trusted Extensions へのログイン (手順)で説明したように、Trusted Extensions で作業できるようになります。作業にはセキュリティー制限が適用されます。Trusted Extensions に固有の制限には、システムのラベル範囲、ユーザー認可上限、シングルレベルセッションかマルチレベルセッションかの選択などがあります。次の図が示すように、Trusted Extensions が設定されたシステムは、4 つの特徴によって Solaris システムと区別できます。Trusted JDS デスクトップで機能を表示する方法については、図 1–5 を参照してください。

図 4–1 マルチレベルの Trusted CDE デスクトップ

ウィンドウおよびアイコン上のラベル、トラステッドシンボルとワークスペースラベルが表示されたトラステッドストライプを示す画面

Trusted Extensions デスクトップ上のラベル

「必須アクセス制御」で説明したように、Trusted Extensions ではすべてのアプリケーションとファイルにラベルがあります。Trusted Extensions では、次の場所にラベルが表示されます。

図 4–2 Trusted JDS で各種ラベルのワークスペースを示すパネル

図では、異なるラベルの付いた 4 つのパネルと、それぞれのラベルが付いたワークスペース内の各種ウィンドウを示しています。

図 4–1 は、Trusted CDE デスクトップでラベルがどのように表示されるかを示しています。図 1–5 は、Trusted JDS デスクトップでラベルがどのように表示されるかを示しています。この場合は、「ウィンドウのラベルを照会 (Query Window Label)」メニュー項目を使用して、ウィンドウのラベルを表示できます。説明図は、図 3–5 を参照してください。

トラステッドストライプ

Trusted CDE では、すべての Trusted Extensions セッションで、トラステッドストライプが画面最下部の予約領域に表示されます。Trusted JDS では、トラステッドストライプを画面の最上部に表示できます。

トラステッドストライプの目的は、正規の Trusted Extensions セッションにいることを視覚的に確認できるようにすることです。ユーザーとトラステッドコンピューティングベース (TCB) の対話中は、そのことがストライプに表示されます。また、現在のワークスペースおよび現在のウィンドウのラベルも表示します。 トラステッドストライプは、ほかのウィンドウやダイアログボックスが原因で位置が変わったり背面に隠れたりすることはありません。

Trusted CDE では、トラステッドストライプに次の 2 つの構成要素があります。

図 4–3 トラステッドストライプに表示された PUBLIC ウィンドウラベル

画面はトラステッドシンボルがなく、「PUBLIC」というワークスペースラベルが表示されたトラステッドストライプを示しています

Trusted JDS では、トラステッドストライプにさらに次の 2 つの構成要素があります。

図 4–4 Trusted JDS デスクトップのトラッテッドストライプ

図はトラステッドストライプを示しています。

トラステッドシンボル

TCB のいずれかの部分にアクセスすると、トラステッドストライプ領域の左側にトラステッドシンボルが必ず表示されます。構成によってラベルが非表示にされている場合、トラステッドシンボルはトラステッドストライプとともに表示されます。Trusted CDE では、トラステッドシンボルはフロントパネルの左側に表示されます。Trusted JDS では、トラステッドシンボルはトラステッドストライプの左側に表示されます。

図はトラステッドシンボルを示しています

トラステッドシンボルは、ポインタが置かれているウィンドウや画面領域が、セキュリティーに影響を与えるものでないときは表示されません。トラステッドシンボルは偽造できません。トラステッドシンボルが表示されている場合は、TCB と安全に対話していることを確認できます。

注意 – 注意 –

ワークスペースにトラステッドストライプが表示されていない場合は、セキュリティー管理者に連絡してください。システムに重大な問題が起きている可能性があります。

ログイン時および画面ロック時は、トラステッドストライプは表示されません。トラステッドストライプが表示されている場合は、ただちに管理者に連絡してください。

ウィンドウラベルインジケータ

「ウィンドウラベル」インジケータには、アクティブなウィンドウのラベルが表示されます。この表示は、マルチレベルセッションにおいて、同じワークスペース内にある異なるラベルのウィンドウを識別するのに役立ちます。また、インジケータは TCB と対話中であることも示します。たとえば、パスワードを変更するときは、「Trusted Path」という表示がトラステッドストライプに表示されます。

図 4–5 トラステッドストライプ内の Trusted Path 表示

画面は、トラステッドシンボルがなく、「Trusted Path」というラベルが表示されたトラステッドストライプを示しています

Trusted Extensions でのデバイスのセキュリティー

Trusted Extensions のデフォルトでは、デバイスはデバイス割り当て要求によって保護されます。ユーザーは、デバイスを割り当てるための明示的認可を与えられないかぎりデバイスを使用できず、割り当てられたデバイスをほかのユーザーが使用することもできません。あるラベルで使用中のデバイスは、最初のラベルから割り当て解除されて次のラベルに割り当てられるまでは別のラベルで使用できません。

デバイスを使用するには、「Trusted Extensions でデバイスを割り当てる」を参照してください。

Trusted Extensions のファイルとアプリケーション

Trusted Extensions のすべてのアプリケーションには、ラベルで示された機密レベルがあります。アプリケーションは、任意のデータトランザクションにおける動作の「サブジェクト」です。サブジェクトは、アクセス対象となる「オブジェクト」よりも優位である必要があります。オブジェクトはファイルの場合もあれば、ほかのプロセスの場合もあります。アプリケーションのラベル情報は、ウィンドウのラベルストライプに表示されます。ラベルが表示されるのは、ウィンドウが開いているときと、アイコン化されているときです。また、ポインタがアプリケーションのウィンドウ内にあるときは、トラステッドストライプにもアプリケーションのラベルが表示されます。

Trusted Extensions では、ファイルはデータトランザクションにおけるオブジェクトです。ファイルには、そのファイルのラベルよりも優位にあるラベルを持つアプリケーションによってのみアクセスできます。ファイルは、そのファイルと同じラベルを持つウィンドウに表示することができます。

一部のアプリケーションでは、初期設定ファイルを使用してユーザーの環境を設定します。ホームディレクトリにある 2 つの特殊ファイルを使用すると、初期設定ファイルにあらゆるラベルでアクセスできます。これらのファイルは、あるラベルのアプリケーションで、別のラベルのディレクトリで生成された初期設定ファイルを使用できるようにします。2 つの特殊ファイルとは、.copy_files.link_files です。

.copy_files ファイル

.copy_files ファイルにファイル名が格納されていると、より高いラベルを持つワークスペースに初めて移動するときに、そのファイルがコピーされます。このファイルは、ユーザーの最下位ラベルで、ホームディレクトリに格納されます。このファイルは、常に特定の名前でホームディレクトリ内のファイルに書き込みを行うアプリケーションがある場合に便利です。.copy_files ファイルを使用すると、アプリケーションで該当のファイルをあらゆるラベルで更新できるように指定できます。

.link_files ファイル

.link_files ファイルには、より高いラベルを持つワークスペースに最初に移動するときにリンクされるファイルの名前が格納されます。このファイルは、ユーザーの最下位ラベルで、ホームディレクトリに格納されます。.link_files ファイルは、特定のファイルを複数のラベルで使用できるようにする必要があるものの、その内容がすべてのラベルで同一でなければならないときに便利です。

Solaris OS のパスワードのセキュリティー

パスワードを頻繁に変更すると、侵入者が違法に入手したパスワードを利用する機会を減らすことができます。そのため、サイトのセキュリティーポリシーで、パスワードの定期的な変更を必須とする場合があります。Solaris OS では、パスワードの内容に関する条件を設定したり、パスワードの再設定の条件を強制したりできます。再設定の条件にできるものは次のとおりです。

前述のオプションのいずれかを管理者が設定している場合は、パスワードを変更するように警告する電子メールメッセージが、期日前に送信されます。

パスワードに内容の基準を設定できます。Solaris OS のパスワードは、少なくとも次の基準を満たす必要があります。

パスワードは、トラステッドメニューの「パスワード変更 (Change Password)」メニュー項目を使用して変更できます。手順については、「トラステッドアクションの実行」を参照してください。

フロントパネルのセキュリティー (Trusted CDE)

Solaris Trusted Extensions (CDE) のフロントパネルは、標準の CDE で使用されるフロントパネルとよく似ています。Trusted Extensions のフロントパネルでは、ユーザーが使用を許可されているアプリケーション、ファイル、およびユーティリティーのみにアクセスが制限されます。ワークスペーススイッチ領域内の任意の場所でマウスボタン 3 をクリックすると、トラステッドパスメニューが表示されます。

リムーバブルメディアマネージャーでデバイスにアクセスできるようにするには、デバイス割り当てマネージャーを使ってそのデバイスを割り当てておく必要があります。デバイス割り当てマネージャーには、フロントパネルのスタイルマネージャーアイコンの上にある「ツール (Tools)」サブパネルからアクセスします。

ヒント –

フロントパネルがアイコン化されている場合は、トラステッドストライプの任意の場所をクリックすることで、パネルを元のサイズに戻すことができます。

Trusted Extensions では、「アイコンのインストール (Install Icon)」ドロップサイトは、現在のワークスペースのラベルで使用が許可されているアプリケーションおよびファイルに制限されています。

標準の CDE に関する詳細は、『Solaris 共通デスクトップ環境 ユーザーズ・ガイド』を参照してください。

ワークスペーススイッチ領域

Trusted Extensions のワークスペースボタンは、個別のワークスペースを定義するだけでなく、特定ラベルでの作業をユーザーに義務付けます。マルチレベルセッションを開始すると、それぞれのワークスペースは、使用可能な最下位のラベルに設定されます。管理者がサイトのラベルを色分けしている場合は、各ラベルの色がワークスペースボタンに表示されます。ワークスペーススイッチ領域から、トラステッドパスメニューにアクセスできます。

トラステッドパスメニュー

トラステッドパスメニューには、次の図に示すような、セキュリティーに影響を与えるメニュー項目が表示されます。

図 4–6 トラステッドパスメニュー – 基本バージョン

基本的なトラステッドパスメニューを示す画面

たとえば、このメニューを使用してパスワードを変更したり、デバイスを割り当てたりします。詳細は、「トラステッドアクションの実行」を参照してください。

Trusted CDE では、トラステッドパスメニューに 、もう 1 つのバージョンがあります。ワークスペース バージョンには、追加のワークスペースのオプションが含まれます。メニューに表示される選択肢は、管理者によるアカウントの設定によって異なります。

図 4–7 トラステッドパスメニュー – ワークスペース (Workspace Name)バージョン

Trusted CDE のワークスペーススイッチからアクセスできるトラステッドパスメニューを示す画面。

クロックのセキュリティー

Trusted Extensions では、管理者だけがワークステーションに設定された日時を変更できます。

カレンダのセキュリティー

カレンダには、現在のワークスペースのラベルのアポイントメントだけが表示されます。別のラベルのアポイントメントを表示するには、そのラベルでカレンダを開く必要があります。

ファイルマネージャーのセキュリティー

Trusted Extensions では、現在のワークスペースのラベルのファイルがファイルマネージャーによって表示されます。複数のラベルのファイルを一度に表示するには、異なるラベルを持つ複数のワークスペースで、ファイルマネージャーをそれぞれに実行します。次に、「配置するワークスペース (Occupy Workspace)」コマンドを使用して、同じワークスペースに複数のファイルマネージャーウィンドウを表示します。

ファイルマネージャーを使用すると、ファイルやフォルダの基本的なアクセス権およびアクセス制御リスト (ACL) を変更できます。承認があれば、異なるラベルのファイルマネージャー間でファイルの移動やリンクを実行することもできます。ファイルマネージャーの使い方の詳細は、「ラベル付きワークスペースにファイルを表示する」および 「トラステッドアクションの実行」を参照してください。

テキストエディタのセキュリティー

テキストエディタは、現在のワークスペースのラベルのファイルを編集する場合にのみ使用できます。承認があれば、異なるラベルのテキストエディタ間で情報をコピーできます。

個人アプリケーションサブパネル

「個人アプリケーション (Personal Applications)」サブパネルに組み込まれているデフォルトのアプリケーションは、標準の CDE 環境のものと同様に動作します。端末アイコンをクリックすると、管理者によって割り当てられたデフォルトのシェルが開きます。Web サーバーにアクセスするには、ブラウザのラベルを Web サーバーと同じにする必要があります。

メールプログラムのセキュリティー

Trusted Extensions では、すべてのメールメッセージにラベルが付きます。メッセージを送信する場合、メッセージはメールアプリケーションのラベルで送信されます。そのラベルの認可を受けているホストおよびユーザーのみがメッセージを受信します。そのラベルで作業しているユーザーのみがメッセージを表示できます。

メールプログラムの不在返信メッセージオプションを使う必要がある場合は、通常メールを受信しているラベルのそれぞれについて、不在返信メッセージの送付を明示的に設定しなければなりません。不在返信メッセージに関するサイトのセキュリティーポリシーについては、セキュリティー管理者に確認してください。

プリンタのセキュリティー

「個人プリンタ (Personal Printers)」サブパネルの印刷マネージャーには、ユーザーの認可上限の範囲で認可されているすべてのプリンタのアイコンが表示されます。ただし、これらのプリンタの中で使用できるのは、現在のワークスペースのラベルで文書を印刷する認可を受けているものだけです。

Trusted Extensions での一般的な印刷ジョブには、次のようなラベルや追加ページが含まれます。

一般的なバナーページを次の図に示します。JOB START という語句が、バナーページであることを示しています。

図 4–8 ラベル付き印刷ジョブの一般的なバナーページ

図は、ジョブ番号と取り扱い指示が表示された一般的な印刷バナーページを示しています。

サイトでの印刷に関する厳密なセキュリティー情報については、管理者に確認してください。

スタイルマネージャーのセキュリティー

次に挙げる 3 つの例外を除き、スタイルマネージャーの操作は Solaris システムの場合と同じです。

アプリケーションマネージャーのセキュリティー

アプリケーションマネージャーでは、管理者がユーザーに割り当てたアプリケーションおよびユーティリティーのみにアクセスできます。ユーザーは役割の中で、別のアプリケーションや機能にアクセスできます。ファイル上で操作できる機能は、現在のワークスペースのラベルによって異なります。

同様に、アイコンを「アイコンのインストール (Install Icon)」ドロップサイトにドロップすると、そのアプリケーションは「個人アプリケーション (Personal Application) 」サブメニューに追加されますが、実行できるアプリケーションは、管理者が指定したものに限られます。

ごみ箱のセキュリティー

Trusted Extensions のごみ箱には、削除するファイルをラベルごとに格納できます。どのラベルのファイルもごみ箱に入れることができますが、表示されるのは現在のラベルのファイルのみです。機密情報は、ごみ箱に入れた直後に削除する必要があります。

ワークスペースのセキュリティー (Trusted JDS)

Trusted Extensions では、Trusted JDS は Trusted CDE と同等のセキュリティーを備えていますが、見た目と使い心地が異なります。Trusted CDE では、デスクトップアプリケーションはラベルを認識します。アプリケーションは現在のワークスペースのラベルで動作し、アプリケーションを開いたプロセスのラベルの情報だけを表示します。

セキュリティー機能の場所が Trusted JDS と Trusted CDE では異なります。動作も異なる場合があります。