この章では、Solaris Trusted Extensions で Solaris デバイスの保護に使用される拡張機能について説明します。
Solaris システムでは、割り当てと承認によってデバイスを保護することができます。デフォルトでは、デバイスは承認のない一般ユーザーにも利用可能です。Trusted Extensions ソフトウェアが設定されたシステムは、Solaris OS のデバイス保護メカニズムを使用します。
ただし、Trusted Extensions の場合、デフォルトでは、デバイスを使用するには割り当てが必要であり、デバイスを使用するユーザーに承認が必要です。さらに、デバイスはラベルによっても保護されます。Trusted Extensions には、デバイスを管理する管理者向けのグラフィカルユーザーインタフェース (GUI) が用意されています。ユーザーがデバイスを割り当てる際にも、同じインタフェースを使用します。
Trusted Extensions では、ユーザーは allocate コマンドと deallocate コマンドを使用できません。ユーザーは、デバイス割り当てマネージャーを使用する必要があります。Solaris Trusted Extensions (JDS) では、GUI のタイトルはデバイスマネージャーです。
Solaris OS でのデバイス保護については、『System Administration Guide: Security Services』の第 4 章「Controlling Access to Devices (Tasks)」を参照してください。
Trusted Extensions が設定されたシステムでは、2 つの役割がデバイスを保護します。
システム管理者役割は、周辺機器へのアクセスを制御します。
システム管理者は、デバイスを割り当て可能にします。システム管理者が割り当て不可に設定したデバイスは、どのユーザーも使用できません。割り当て可能なデバイスは、承認ユーザーによってのみ割り当てられます。
セキュリティー管理者役割は、デバイスにアクセスできるラベルを制限し、デバイスポリシーを設定します。セキュリティー管理者は、デバイス割り当てを承認されるユーザーを決定します。
Trusted Extensions ソフトウェアによるデバイス制御の主な機能は、次のとおりです。
デフォルトでは、Trusted Extensions システムの未承認ユーザーは、テープドライブ、CD-ROM ドライブ、フロッピーディスクドライブなどのデバイスを割り当てることができません。
「デバイスの割り当て」承認を持つ一般ユーザーは、そのユーザーがデバイスを割り当てるラベルで情報をインポートまたはエクスポートすることができます。
ユーザーが直接ログインしている場合は、デバイス割り当てマネージャーを起動してデバイスを割り当てます。デバイスを遠隔で割り当てるには、ユーザーが大域ゾーンにアクセスできる必要があります。通常は、役割だけが大域ゾーンにアクセスできます。
各デバイスのラベル範囲は、セキュリティー管理者によって制限されます。一般ユーザーがアクセスできるのは、そのユーザーが作業を許可されているラベルを含むラベル範囲を持つデバイスだけです。デバイスのデフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
割り当て可能なデバイスにも、割り当て不可のデバイスにも、ラベル範囲を制限することができます。割り当て不可のデバイスは、フレームバッファーやプリンタなどのデバイスです。
ユーザーが機密情報をコピーできないように、割り当て可能な各デバイスにはラベル範囲があります。割り当て可能なデバイスを使用するには、ユーザーが現在そのデバイスのラベル範囲で操作している必要があります。それ以外のユーザーには、割り当てが拒否されます。ユーザーの現在のラベルは、デバイスがそのユーザーに割り当てられている間にインポートまたはエクスポートされるデータに適用されます。エクスポートされたデータのラベルは、デバイスが割り当て解除されるときに表示されます。エクスポートされたデータを含むメディアには、ユーザーが物理的にラベルを付ける必要があります。
コンソールによる直接ログインアクセスを制限するために、セキュリティー管理者はフレームバッファーに制限付きのラベル範囲を設定することができます。
たとえば、制限付きのラベル範囲を指定して、公共アクセス可能なシステムへのアクセスを制限することもできます。ラベル範囲を使用すると、ユーザーはそのフレームバッファーのラベル範囲内でのみシステムにアクセスできるようになります。
ホストにローカルプリンタがある場合、プリンタに制限付きのラベル範囲を設定することによって、プリンタで印刷できるジョブを制限できます。
Trusted Extensions は、Solaris OS と同じデバイスポリシーに従います。セキュリティー管理者は、デフォルトのポリシーを変更し、新しいポリシーを定義することができます。getdevpolicy コマンドでデバイスポリシーに関する情報を取り出し、update_drv コマンドでデバイスポリシーを変更します。詳細は、『System Administration Guide: Security Services』の「Configuring Device Policy (Task Map)」を参照してください。getdevpolicy(1M) および update_drv(1M) のマニュアルページも参照してください。
デバイスクリーンスクリプトは、デバイスを割り当てるとき、または割り当て解除するときに実行されます。Solaris OS には、テープドライブ、CD-ROM ドライブ、およびフロッピーディスクドライブ用のスクリプトが用意されています。サイトで割り当て可能なデバイスタイプをシステムに追加した場合、追加したデバイスにスクリプトが必要な場合があります。既存のスクリプトを確認する場合は、/etc/security/lib ディレクトリに移動します。詳細は、『System Administration Guide: Security Services』の「Device-Clean Scripts」を参照してください。
Trusted Extensions ソフトウェアの場合、デバイスクリーンスクリプトは一定の要件を満たさなくてはなりません。この要件については、device_clean(5) のマニュアルページを参照してください。
デバイス割り当てマネージャーは、割り当て可能デバイスと割り当て不可デバイスを管理する際に管理者が使用します。一般ユーザーがデバイスを割り当てる、または割り当て解除するときにもデバイス割り当てマネージャーを使用します。ユーザーには、「デバイスの割り当て」承認が必要です。Solaris Trusted Extensions (CDE) ワークスペースでは、デバイス割り当てマネージャーはフロントパネルから開きます。アイコンは次のように表示されます。
Solaris Trusted Extensions (JDS) ワークスペースでは、GUI はデバイスマネージャーと呼ばれます。この GUI は、トラステッドパスメニューから「デバイスの割り当て」を選択することによって起動します。Trusted CDE では、トラステッドパスメニューから GUI を起動することもできます。次の図は、audio デバイスを割り当てることのできるユーザーがデバイス割り当てマネージャーを開いたところです。
デバイスの割り当てを承認されていないユーザーには、空のリストが表示されます。または、リストが空の場合、割り当て可能なデバイスが現在ほかのユーザーによって割り当てられているか、エラー状態である可能性もあります。「使用可能デバイス」リストにデバイスが表示されない場合、ユーザーは責任管理者に連絡する必要があります。
デバイス管理機能は、デバイスの管理に必要な承認を 1 つまたは両方持っている役割が使用できます。管理に必要な承認は、「デバイス属性の構成」と「デバイスの解除または再利用」です。次の図は、「デバイスの割り当て管理」ダイアログボックスを示したものです。
Solaris Trusted Extensions (JDS) では、「デバイス管理」ボタンは「管理」と呼ばれます。
セキュリティー管理者は、デバイスを割り当てることのできるユーザーを決定し、デバイスの使用を承認されているユーザーがトレーニングを受けていることを確認します。ユーザーは、次の操作を行うと信頼されています。
機密情報が不正なユーザーに利用されることのないよう、エクスポートされた機密情報を含むメディアを適切にラベル付けし、扱うこと。
たとえば、NEED TO KNOW ENGINEERING のラベルの情報がフロッピーディスクに保存される場合、その情報をエクスポートしたユーザーはそのディスクに NEED TO KNOW ENGINEERING という物理的なラベルを付けてください。フロッピーディスクは、この情報を知る必要のあるエンジニアグループのメンバーだけがアクセスできる場所に保管する必要があります。
これらのデバイス上のメディアからインポートされる (読み込まれる) 情報について、ラベルが適切に管理されるようにすること。
承認ユーザーは、インポートする情報と同じラベルでデバイスを割り当てる必要があります。たとえば、PUBLIC でフロッピーディスクドライブを割り当てる場合、そのユーザーは PUBLIC というラベルの情報だけをインポートしてください。
セキュリティー管理者は、セキュリティー要件の適切な遵守についても責任があります。
Trusted Extensions のデバイス保護では、Solaris インタフェースと Trusted Extensions インタフェースを使用します。
Solaris のコマンド行インタフェースについては、『System Administration Guide: Security Services』の「Device Protection (Reference)」を参照してください。
デバイス割り当てマネージャーにアクセスできない管理者は、コマンド行を使用して割り当て可能デバイスを管理できます。allocate コマンドと deallocate コマンドには、管理用のオプションがあります。たとえば、『System Administration Guide: Security Services』の「Forcibly Allocating a Device」と『System Administration Guide: Security Services』の「Forcibly Deallocating a Device」を参照してください。
Trusted Extensions のコマンド行インタフェースについては、add_allocatable(1M) および remove_allocatable(1M) のマニュアルページを参照してください。