コンテナとラベル

Trusted Extensions では、ラベル付けにコンテナが使用されます。コンテナは「ゾーン」とも呼ばれます。「大域ゾーン」は管理ゾーンであり、ユーザーは使用できません。非大域ゾーンは「ラベル付きゾーン」と呼ばれます。ラベル付きゾーンはユーザーが使用します。大域ゾーンの一部のシステムファイルはユーザーと共有されます。これらのファイルがラベル付きゾーンに表示される場合、ファイルのラベルは ADMIN_LOW になります。

ネットワーク通信はラベルによって制限されます。デフォルトでは、それぞれのラベルが異なるため、ゾーン間の通信はできません。したがって、あるゾーンから別のゾーンへの書き込みはできません。

ただし、管理者が特定のゾーンを設定して、特定のディレクトリをほかのゾーンから読み取れるようにすることができます。ほかのゾーンは、同じホスト上にあるものでも、リモートシステム上のものでもかまいません。たとえば、レベルが低いゾーンにあるユーザーのホームディレクトリを、自動マウントサービスを使ってマウントできるようになります。このようなレベルの低いホームマウントのパス名表記では、ゾーン名を次のように含めます。

/zone/name-of-lower-level-zone/home/username

次の端末ウィンドウは、レベルの低いホームディレクトリの表示/非表示を示しています。ログインラベルが Confidential: Internal Use Only のユーザーは、レベルが低いゾーンを読み取れるように自動マウントサービスが設定されている場合に、Public ゾーンの内容を表示できます。textfileInfo.txt ファイルは 2 種類あります。Public ゾーンに置かれた方のファイルには、全員で共有できる情報が格納されます。Confidential: Internal Use Only ゾーンに置かれた方のファイルには、社内のみで共有できる情報が格納されます。

図 1–6 上位ラベルのゾーンからの Public 情報の表示