第 1 章 Solaris Trusted Extensions ソフトウェアの紹介
この章では、Trusted Extensions ソフトウェアによって Solaris オペレーティングシステム (Solaris OS) に追加される、ラベルやその他のセキュリティー機能について紹介します。
Trusted Extensions ソフトウェアとは
名前と後続のロゴが示すように、Trusted Extensions は Solaris OS の機能を拡張します。
図 1–1 CDE での Trusted Extensions のロゴ
Trusted Extensions により、システムに特別なセキュリティー機能が提供されます。組織はこれらの機能を利用して、Solaris システムにセキュリティーポリシーを定義し、実装できます。「セキュリティーポリシー」とは、サイト内の情報やコンピュータハードウェアなどのリソースの保護に役立つ、一連の規則と実践です。一般にはセキュリティー規則によって、だれがどの情報にアクセスできるか、またはだれがリムーバブルメディアへのデータ書き込みを許可されているかなどの内容が処理されます。「セキュリティー実践」とは、タスクを実行するために推奨される手順です。
以降の各節では、Trusted Extensions によって提供される主なセキュリティー機能について説明します。どのセキュリティー機能を設定できるかについても説明しています。
Trusted Extensions による侵入者からの防御
Trusted Extensions ソフトウェアにより、Solaris OS を侵入者から防御する機能が追加されます。Trusted Extensions は、パスワード保護などの Solaris の機能も利用します。Trusted Extensions によって、役割のパスワードを変更する GUI が追加されます。監査機能はデフォルトで有効になります。
トラステッドコンピューティングベースへのアクセス制限
「トラステッドコンピューティングベース (Trusted Computing Base, TCB)」という用語は、Trusted Extensions ソフトウェアの中でセキュリティーに関するイベントを処理する部分を表します。TCB にはソフトウェア、ハードウェア、ファームウェア、文書、管理手順などが含まれます。セキュリティー関連のファイルにアクセス可能なユーティリティーやアプリケーションプログラムは、いずれも TCB の一部です。管理者は、各ユーザーが TCB と行う可能性のあるすべての対話に制限を設定します。このような対話には、業務の遂行に必要なプログラム、アクセスが許可されているファイル、セキュリティーに影響を与える可能性があるユーティリティーなどがあります。
必須アクセス制御による情報保護
侵入者がシステムへのログインに成功した場合でも、さらに妨害することで情報へのアクセスを防ぎます。ファイルなどのリソースはアクセス制御で保護されます。Solaris OS の場合と同様に、アクセス制御は情報の所有者が設定できます。Trusted Extensions ではシステムでもアクセスが制御されます。詳細は、「Trusted Extensions による任意アクセス制御と必須アクセス制御」を参照してください。
周辺装置の保護
Trusted Extensions では、テープドライブ、CD-ROM ドライブ、プリンタ、マイクロフォンなどローカルの周辺装置へのアクセスは管理者が制御します。アクセスはユーザーごとに付与できます。周辺装置へのアクセスは次のように制限されます。
-
デフォルトでは、各デバイスを使用するには割り当てる必要がある。
-
リムーバブルメディアを制御するデバイスへのアクセスには承認が必要。
-
リモートユーザーは、マイクロフォンや CD-ROM ドライブなどのローカルデバイスを使用できない。ローカルユーザーのみがデバイスを割り当てることができる。
スプーフィングプログラム (騙しプログラム) の防止
「スプーフィング」とは、なりすましのことです。パスワードや機密データを盗むために、侵入者がログインプログラムやそのほかの正規のプログラムを模倣することがあります。 Trusted Extensions では、次のような「トラステッドシンボル」と呼ばれる、一目でわかる不正操作防止アイコンを画面の下に表示することによって、悪意のあるスプーフィングプログラムからユーザーを守ります。
図 1–2 トラステッドシンボル
このシンボルは、トラステッドコンピューティングベース (TCB) との対話中は常に表示されます。このシンボルが表示されていれば、セキュリティー関連のトランザクションが確実に安全に実行されていることになります。シンボルが表示されていない場合は、セキュリティーが侵害される可能性があります。次の図はトラステッドシンボルを示しています。
Trusted Extensions による任意アクセス制御と必須アクセス制御
Trusted Extensions では、任意と必須の両方のアクセス制御を提供することによって、どのユーザーがどの情報にアクセスできるかを制御します。
任意アクセス制御
「任意アクセス制御 (Discretionary Access Control、DAC)」は、ファイルとディレクトリに対するユーザーのアクセスを制御するためのソフトウェア機構です。DAC では、ファイルおよびディレクトリに設定する保護の種類を所有者自身が決定できます。DAC には、UNIX アクセス権ビットを使用する方法と、アクセス制御リスト (ACL) を利用する方法があります。
アクセス権ビット方式では、「所有者」、「グループ」、「その他のユーザー」の単位で、読み取り保護、書き込み保護、実行保護を設定できます。従来の UNIX のシステムでは、スーパーユーザー (root ユーザー) が DAC 保護を上書きできます。Trusted Extensions ソフトウェアでは、DAC を上書きできるのは、管理者と承認されたユーザーのみです。ACL では、アクセス制御をさらに細かく設定できます。所有者は ACL を使用することにより、特定のユーザーやグループに対して別個のアクセス権を指定できます。詳細は、『System Administration Guide: Security Services』の第 6 章「Controlling Access to Files (Tasks)」を参照してください。
必須アクセス制御
「必須アクセス制御 (Mandatory Access Control、MAC)」 は、ラベル関係に基づいた、システムによって実施されるアクセス制御機構です。システムにより、プログラムを実行するために作成されたすべてのプロセスに機密ラベルが対応付けられます。このラベルが、MAC ポリシーでのアクセス制御の決定に使用されます。通常、各プロセスでは、相手側のラベルが自身のラベルと同等でないかぎり、情報を格納することも、ほかのプロセスと通信することもできません。MAC ポリシーでは、ラベルが同等または自身よりも低いオブジェクトからのデータ読み取りが、プロセスに対して許可されます。ただし、管理者は、レベルの低いオブジェクトがほとんどまたはまったく存在しないような、ラベル付き環境を作成することもできます。
デフォルトでは、MAC ポリシーはユーザーには表示されません。通常のユーザーは、オブジェクトに対する MAC アクセスを持っていないかぎり、そのオブジェクトを表示できません。あらゆる場合において、ユーザーが MAC ポリシーに反する行為を行うことはできません。
機密ラベルと認可上限
-
格付け (「レベル」とも呼ばれる)
セキュリティーの階層レベルを示す構成要素です。人に適用した場合、格付けは信用の程度を表します。データに適用した場合、格付けは必要な保護の度合いを表します。
米国政府で使用されている格付けは、TOP SECRET、 SECRET、CONFIDENTIAL、および UNCLASSIFIED です。産業界の格付けには、標準化されたものはありません。個々の企業が独自の格付けを設定できます。例については、図 1–3 を参照してください。左側の項目が格付けです。右側の項目がコンパートメントです。
-
コンパートメントは、作業グループ、部門、プロジェクト、トピックなどのグループ化を表します。格付けに必ずしもコンパートメントがあるとはかぎりません。図 1–3 では、Confidential という格付けに 3 つの排他的なコンパートメントがあります。Public と Max Label にはコンパートメントがありません。図が示すように、この組織では 5 つのラベルが定義されています。
図 1–3 一般的な産業界向け機密ラベル
Trusted Extensions には 2 種類のラベルがあります。「機密ラベル」と「認可上限」です。作業の認可は 1 つ以上の機密ラベルで得ることができます。「ユーザー認可上限」と呼ばれる特殊なラベルは、そのユーザーが作業することを許されている最高ラベルを決定します。さらに、各ユーザーには最下位の機密ラベルが指定されています。 このラベルは、マルチレベルのデスクトップセッションにログインするときにデフォルトで使用されます。ログイン後は、この範囲内のほかのラベルで作業することを選択できます。最下位の機密ラベルとして Public を、認可上限として Confidential: Need to Know をユーザーに割り当てたとします。最初のログインでは、デスクトップのワークスペースのラベルは Public です。セッション中、ユーザーは Confidential: Internal Use Only および Confidential: Need to Know でワークスペースを作成できます。
Trusted Extensions が設定されたシステムでは、すべてのサブジェクトとオブジェクトにラベルがあります。「サブジェクト」とは能動的な実体であり、通常はプロセスを指します。プロセスによって、情報がオブジェクト間を移動したり、システムの状態が変更されたりします。「オブジェクト」とは、データを保持したり、受け取ったりする受動的な実体であり、データファイルやディレクトリ、プリンタなどのデバイスを指します。プロセスに対して kill コマンドを使用するときのように、プロセスがオブジェクトになる場合もあります。
ラベルは、ウィンドウのタイトルバーと、画面の特殊なストライプである「トラステッドストライプ」に表示することができます。図 1–4 は、Trusted CDE での一般的なマルチレベル Trusted Extensions セッションを示しています。ラベルとトラステッドストライプが表示されています。
図 1–4 一般的な Trusted CDE のセッション
図 1–5 は、Trusted JDS システムでの一般的なマルチレベル Trusted Extensions セッションを示しています。トラステッドストライプが上部にあります。トラステッドパスメニューはトラステッドストライプから起動します。ある役割になるには、ユーザー名をクリックして役割メニューを起動します。下部パネルのワークスペーススイッチには、ワークスペースラベルの色が表示されます。下部パネルのウィンドウリストには、ウィンドウのラベルの色が表示されます。
図 1–5 一般的な Trusted JDS のセッション
コンテナとラベル
Trusted Extensions では、ラベル付けにコンテナが使用されます。コンテナは「ゾーン」とも呼ばれます。「大域ゾーン」は管理ゾーンであり、ユーザーは使用できません。非大域ゾーンは「ラベル付きゾーン」と呼ばれます。ラベル付きゾーンはユーザーが使用します。大域ゾーンの一部のシステムファイルはユーザーと共有されます。これらのファイルがラベル付きゾーンに表示される場合、ファイルのラベルは ADMIN_LOW になります。
ネットワーク通信はラベルによって制限されます。デフォルトでは、それぞれのラベルが異なるため、ゾーン間の通信はできません。したがって、あるゾーンから別のゾーンへの書き込みはできません。
ただし、管理者が特定のゾーンを設定して、特定のディレクトリをほかのゾーンから読み取れるようにすることができます。ほかのゾーンは、同じホスト上にあるものでも、リモートシステム上のものでもかまいません。たとえば、レベルが低いゾーンにあるユーザーのホームディレクトリを、自動マウントサービスを使ってマウントできるようになります。このようなレベルの低いホームマウントのパス名表記では、ゾーン名を次のように含めます。
/zone/name-of-lower-level-zone/home/username |
次の端末ウィンドウは、レベルの低いホームディレクトリの表示/非表示を示しています。ログインラベルが Confidential: Internal Use Only のユーザーは、レベルが低いゾーンを読み取れるように自動マウントサービスが設定されている場合に、Public ゾーンの内容を表示できます。textfileInfo.txt ファイルは 2 種類あります。Public ゾーンに置かれた方のファイルには、全員で共有できる情報が格納されます。Confidential: Internal Use Only ゾーンに置かれた方のファイルには、社内のみで共有できる情報が格納されます。
図 1–6 上位ラベルのゾーンからの Public 情報の表示
ラベルとトランザクション
Trusted Extensions ソフトウェアは、試みられたすべてのセキュリティー関連のトランザクションを管理します。サブジェクトのラベルがオブジェクトのラベルと比較され、どちらのラベルが「優位」であるかに応じてトランザクションが許可または拒否されます。ある実体のラベルは、次の 2 つの条件が満たされている場合に、もう一方の実体のラベルよりも「優位」だとみなされます。
-
1 つ目の実体のラベルの格付け要素が、もう一方の実体の格付けと同等またはそれよりも上である。
-
もう一方の実体のラベルのすべてのコンパートメントが 1 つ目の実体のラベルに含まれている。
2 つのラベルは、同じ格付けと同じコンパートメントのセットを持つ場合に、「同等」 だとみなされます。ラベルが同等であれば、これらは互いに優位です。よって、アクセスが許可されます。
次の条件のいずれかを満たす場合、1 つ目のラベルは 2 つ目のラベルよりも「完全に優位」であると言えます。
-
1 つ目のラベルが 2 つ目のラベルよりも高い格付けを持っている
-
1 つ目のラベルの格付けが 2 つ目のラベルの格付けと同等であり、1 つ目のラベルに 2 つ目のラベルのコンパートメントがすべて含まれ、1 つ目のラベルに追加のコンパートメントがある
2 つ目のラベルよりも完全に優位なラベルには、2 つ目のラベルへのアクセスが許可されます。
どちらのラベルももう一方のラベルより優位ではない場合、これらのラベルは「無関係」とみなされます。無関係なラベル間ではアクセスは許可されません。
これらの構成要素から、次の 4 つのラベルを作成できます。
-
TOP SECRET
-
TOP SECRET A
-
TOP SECRET B
-
TOP SECRET AB
TOP SECRET AB は自身に対して優位であり、ほかのラベルよりも完全に優位です。TOP SECRET A は自身に対して優位であり、TOP SECRET よりも完全に優位です。TOP SECRET B は自身に対して優位であり、TOP SECRET よりも完全に優位です。TOP SECRET A と TOP SECRET B は無関係です。
読み取りトランザクションでは、サブジェクトのラベルがオブジェクトのラベルよりも優位である必要があります。この規則により、サブジェクトの信頼レベルは、オブジェクトにアクセスするための条件を完全に満たすことになります。つまり、サブジェクトのラベルには、オブジェクトへのアクセスが許可されたすべてのコンパートメントが含まれます。TOP SECRET A は、TOP SECRET A と TOP SECRET のデータを読み取ることができます。同様に、TOP SECRET B は TOP SECRET B と TOP SECRET のデータを読み取ることができます。TOP SECRET A が TOP SECRET B のデータを読み取ることはできません。同様に、TOP SECRET B も TOP SECRET A のデータを読み取ることはできません。TOP SECRET AB は、すべてのラベルのデータを読み取ることができます。
書き込みトランザクション、つまり、サブジェクトによってオブジェクトが作成または変更される場合は、結果として得られるオブジェクトのラベル付きゾーンがサブジェクトのラベル付きゾーンと同等である必要があります。1 つのゾーンから別のゾーンへの書き込みトランザクションは許可されません。
実際には、読み取りや書き込みのトランザクションでのサブジェクトとオブジェクトは通常は同じラベルを持つので、完全に優位であるかどうかを気にする必要はありません。たとえば、TOP SECRET A のサブジェクトは、TOP SECRET A のオブジェクトを作成または変更できます。Trusted Extensions では、TOP SECRET A のオブジェクトは TOP SECRET A というラベルのゾーンにあります。
次の表は、米国政府のラベルおよび産業界のラベルでの優位性の関係を示しています。
表 1–1 Trusted Extensions のラベル関係の例|
ラベル 1 |
関係 |
ラベル 2 |
|
|---|---|---|---|
|
米国政府のラベル |
TOP SECRET AB |
ラベル 1 はラベル 2 より (完全に) 優位 |
SECRET A |
|
TOP SECRET AB |
ラベル 1 はラベル 2 より (完全に) 優位 |
SECRET A B |
|
|
TOP SECRET AB |
ラベル 1 はラベル 2 より (完全に) 優位 |
TOP SECRET A |
|
|
TOP SECRET AB |
ラベル 1 はラベル 2 より優位 (または同等) |
TOP SECRET AB |
|
|
TOP SECRET AB |
無関係 |
TOP SECRET C |
|
|
TOP SECRET AB |
無関係 |
SECRET C |
|
|
TOP SECRET AB |
無関係 |
SECRET A B C |
|
|
産業界のラベル |
Confidential: Restricted |
ラベル 1 はラベル 2 より優位 |
Confidential: Need to Know |
|
Confidential: Restricted |
ラベル 1 はラベル 2 より優位 |
Confidential: Internal Use Only |
|
|
Confidential: Restricted |
ラベル 1 はラベル 2 より優位 |
Public |
|
|
Confidential: Need to Know |
ラベル 1 はラベル 2 より優位 |
Confidential: Internal Use Only |
|
|
Confidential: Need to Know |
ラベル 1 はラベル 2 より優位 |
Public |
|
|
Confidential: Internal |
ラベル 1 はラベル 2 より優位 |
Public |
|
|
Sandbox |
無関係 |
その他すべてのラベル |
異なるラベルを持つファイル間で情報を転送するとき、ファイルのラベル変更がそのユーザーに承認されている場合は、確認ダイアログボックスが Trusted Extensions によって表示されます。ユーザーが承認されていない場合、Trusted Extensions はトランザクションを許可しません。情報の昇格または降格をユーザーに承認できるのはセキュリティー管理者です。詳細は、「トラステッドアクションの実行」を参照してください。
データ保護のためのユーザーの責任
ユーザーには、アクセス権を設定して自分のファイルとディレクトリを保護する責任があります。アクセス権を設定するためにユーザーが実行できるアクションでは、任意アクセス制御 (DAC) と呼ばれるメカニズムが使用されます。ファイルとディレクトリのアクセス権の確認は、ls -l コマンドを使用するか、ファイルマネージャー (第 3 章Trusted Extensions での作業 (手順)を参照) を使用して行います。
必須アクセス制御 (MAC) はシステムによって自動的に実施されます。ラベルの付いた情報を昇格または降格することを承認されているユーザーには、情報のレベルを変更する必要性が正当なものであることを保証する重大な責任があります。
データ保護のもう 1 つの側面は電子メールに関するものです。管理者から電子メールで受け取った指示には決して従わないでください。たとえば、電子メールで送られてきた指示に従ってパスワードを特定の値に変更すると、その電子メールの送り手があなたのアカウントにログインするのを許すことになってしまいます。特別の場合として、指示に従う前にその指示を別の手段で確認することができます。
Trusted Extensions による情報のラベル別管理
Trusted Extensions では、次の方法で、情報がラベル別に分類されます。
-
ユーザーがシングルレベルセッションまたはマルチレベルセッションを選択する。
-
デスクトップでラベル付きワークスペースを提供する。
-
ラベルに応じてファイルを個別ゾーンに格納する。
-
電子メールをはじめとするすべてのトランザクションに MAC を実施する。
-
オブジェクトを再使用する前に、オブジェクトのデータを消去する。
シングルレベルセッションとマルチレベルセッション
Trusted Extensions のセッションに最初にログインするときは、シングルのラベルで作業するか、複数のラベルで作業するかを指定します。次に、自分の「セッション認可上限」または「セッションラベル」を設定します。この設定が、以降の作業のセキュリティーレベルになります。
シングルラベルセッションでは、設定したセッションラベルと同等のオブジェクトか、セッションラベルの方が優位であるオブジェクトにのみ、アクセスできます。
マルチレベルセッションでは、設定したセッション認可上限とラベルが同等、またはそれよりも下位の情報にアクセスできます。ワークスペースごとに異なるラベルを指定できます。また、同じラベルのワークスペースを複数持つこともできます。
セッションの選択例
表 1–2 は、シングルレベルセッションとマルチレベルセッションとの違いを示す例です。この例では、CONFIDENTIAL: NEED TO KNOW (CNF: NTK) のシングルレベルセッションで作業するよう選択したユーザーと、同じ CNF: NTK を指定してマルチレベルセッションを選択したユーザーとを対比しています。
左側の 3 つの列は、ログイン時に各ユーザーが選択したセッションを示します。シングルレベルセッションのユーザーは「セッションラベル」を設定し、マルチレベルセッションのユーザーは「セッション認可上限」を設定しています。システムにより、選択に応じて適切なラベルビルダーが表示されます。マルチレベルセッションのラベルビルダーを表示する場合は、図 2–2 を参照してください。
右側の 2 つの列は、セッションで使用可能なラベルの値を示しています。「初期ワークスペースラベル」列は、ユーザーがシステムに最初にアクセスしたときのラベルを表します。「使用可能なラベル」列には、セッション中にユーザーが切り替えることができるラベルが一覧表示されています。
表 1–2 使用可能なセッションラベルに対する初期ラベルの選択の影響|
ユーザー選択項目 |
セッションラベルの値 |
|||
|---|---|---|---|---|
|
セッションの種類 |
セッションラベル |
セッション認可上限 |
初期ワークスペースラベル |
使用可能なラベル |
|
シングルレベル |
CNF: NTK |
- |
CNF: NTK |
CNF: NTK |
|
マルチレベル |
- |
CNF: NTK |
Public |
Public CNF: Internal Use Only CNF: NTK |
表の 1 行目に示すように、ユーザーは CNF: NTK というセッションラベルのシングルレベルセッションを選択しています。ユーザーの初期ワークスペースラベルは CNF: NTKであり、これはユーザーが操作できる唯一のラベルでもあります。
表の 2 行目に示すように、ユーザーは CNF: NTK というセッション認可上限のマルチレベルセッションを選択しています。ユーザーの初期ワークスペースラベルは Public に設定されます。これは、ユーザーのアカウントラベル範囲の中で Public がもっとも下位にある使用可能なラベルになるからです。ユーザーは Public と CNF: NTK の間の任意のラベルに切り替えることができます。Public が最下位ラベル、CNF: NTK がセッション認可上限です。
ラベル付きワークスペース
Solaris Trusted Extensions (CDE) または Trusted CDE では、Trusted Extensions のワークスペースに、Solaris OS の場合と同様に、フロントパネルの中央にあるボタンを使ってアクセスします。ただし、Trusted Extensions では、ワークスペース全体をシングルのラベルにまとめることができます。この設定は、マルチレベルセッションでの作業中にさまざまなラベルで情報が混乱しないようにする場合に非常に便利です。次の図は、4 つのスイッチがあるワークスペーススイッチ領域を示しています。それぞれのスイッチにより、異なるラベルのワークスペースが開きます。複数のワークスペースを同じラベルに割り当てることもできます。
図 1–7 ワークスペーススイッチ領域
次の図に示すように、Solaris Trusted Extensions (JDS) または Trusted JDS では、下部パネルの右側にあるボタンを使ってワークスペースにアクセスします。各ワークスペースにはラベルがあります。
図 1–8 ラベル付きパネル
複数のワークスペースに同じラベルを割り当てたり、異なるラベルを異なるワークスペースに割り当てることができます。ワークスペース内で起動されたウィンドウには、そのワークスペースのラベルが付きます。ウィンドウが別のラベルのワークスペースに移動されても、ウィンドウは元のラベルを保持します。そのため、ラベルが異なる複数のウィンドウを 1 つのワークスペース内に配置できます。
電子メールトランザクションに MAC を適用する
Trusted Extensions では、電子メールに対して MAC が実施されます。電子メールを現在のラベルで送信したり読んだりできます。アカウント範囲内のラベルの電子メールを受信できます。マルチレベルセッションの場合は、別のラベルのワークスペースに切り替えて、そのラベルの電子メールを読むことができます。その際には、同じログインで、同じメーラーを使用します。システムは、現在のラベルでのみ電子メールを読むことを許可します。
オブジェクトを再使用する前にオブジェクトのデータを消去する
Trusted Extensions では、ユーザーアクセス可能なオブジェクトの再使用前に古い情報を自動的に消去することによって、機密情報の不用意な漏洩を防ぎます。たとえば、メモリーやディスク領域などが、再使用される前にクリアされます。オブジェクトが再使用される前に機密データを消去しないと、不適当なユーザーにデータが漏洩する恐れがあります。Trusted Extensions ではデバイスの割り当てを解除することにより、ユーザーアクセス可能なオブジェクトをすべてクリアしてから、各ドライブをプロセスに割り当てます。ただし、DVD や JAZ ドライブなどのリムーバブルストレージメディアについては、ほかのユーザーによるドライブへのアクセスを許可する前に、ユーザー自身がすべてをクリアしておく必要があります。
Trusted Extensions によるセキュリティー保護された管理
従来の UNIX システムと異なり、Trusted Extensions の管理にはスーパーユーザー (root ) を使用しません。その代わりに、可能な作業がそれぞれ異なる管理上の役割によってシステムが管理されます。これにより、1 人のユーザーがシステムのセキュリティーを危険にさらすことはできなくなります。「役割」とは、特定のタスクを実行するのに必要な権限を使って特定のアプリケーションへのアクセスを提供する特殊なユーザーアカウントです。この場合の権限とは、承認、特権、実効 UID、実効 GID などを指します。
Trusted Extensions が設定されたシステムでは、次のようなセキュリティー処理が実施されます。
-
ユーザーには必要に応じてアプリケーションへのアクセスと承認が与えられる。
-
管理者から特別な承認または特権が与えられたユーザーだけが、セキュリティーポリシーを上書きする機能を実行できる。
-
システム管理者の任務は、複数の役割に分割される。
Trusted Extensions のアプリケーションへのアクセス
Trusted Extensions では、業務の遂行に必要なプログラムだけにアクセスできます。Solaris OS の場合と同様に、管理者はユーザーのアカウントに 1 つ以上の権利プロファイルを割り当てることによって、アクセスを可能にします。「権利プロファイル」とは、プログラムとセキュリティー属性をまとめた特殊なコレクションです。これらのセキュリティー属性は、権利プロファイル内のプログラムを正常に使えるようにするものです。
Solaris OS では、「特権」や「承認」などのセキュリティー属性が提供されます。Trusted Extensions ではラベルが提供されます。これらの属性のいずれかが欠けている場合は、プログラムまたはその一部を利用されないようにできます。たとえば、データベースを読み取れるようにする承認が権利プロファイルに含まれているとします。このデータベースを変更したり、Confidential と格付けされた情報を読み取るには、特定のセキュリティー属性を持つ権利プロファイルが必要です。
セキュリティー属性が関連付けられたプログラムが含まれる権利プロファイルを使用することにより、ユーザーがプログラムを悪用したり、システム上のデータを損傷したりするのを防ぐことができます。セキュリティーポリシーを無効にするようなタスクを実行する必要があるユーザーには、必要なセキュリティー属性が含まれる権利プロファイルを管理者が割り当てることができます。実行できないタスクがある場合は、管理者に確認してください。必要なセキュリティー属性が足りない可能性があります。
さらに、管理者がユーザーのログインシェルとしてプロファイルシェルを割り当てる場合があります。「プロファイルシェル」とは特殊な型の Bourne シェルで、特定のアプリケーションや機能に対するアクセスを可能にします。プロファイルシェルは Solaris OS の機能です。詳しくは、pfsh(1) のマニュアルページを参照してください。
注 –
プログラムを実行しようとして Not Found エラーメッセージが表示されたり、コマンドを実行しようとして Not in Profile エラーメッセージが表示されたりする場合は、プログラムの使用が許可されていない可能性があります。セキュリティー管理者に確認してください。
Trusted Extensions の役割による管理
Trusted Extensions ソフトウェアでは、複数の役割を使用して管理が行われます。自分のサイトでだれがどの任務を実行しているのかを確認しておいてください。一般的な役割を次に示します。
-
root 役割 – 主にスーパーユーザーによる直接ログインを防止するために使用します。
-
主管理者役割 – ほかの役割で可能な機能を超える特権を必要とするタスクを行います。
-
セキュリティー管理者役割 – パスワードの設定、デバイスの割り当ての承認、権利プロファイルの割り当て、ソフトウェアプログラムの評価など、セキュリティーに関連するタスクを行います。
-
システム管理者役割 – ホームディレクトリの設定、バックアップの復元、ソフトウェアプログラムのインストールなど、標準的なシステム管理タスクを行います。
-
オペレータ役割 – システムのバックアップ、プリンタの管理、リムーバブルメディアのマウントなどを行います。
- © 2010, Oracle Corporation and/or its affiliates