ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
Trusted Extensions と Oracle Solaris OS
Trusted Extensions と Oracle Solaris OS の類似性
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions ソフトウェアは、Oracle Solaris OS を実行しているシステムにラベルを追加します。ラベルは、「必須アクセス制御」 (MAC) を実装します。MAC は任意アクセス制御 (DAC) とともに、システムのサブジェクト (プロセス) とオブジェクト (データ) を保護します。Trusted Extensions ソフトウェアには、ラベルの構成、ラベルの割り当て、およびラベルポリシーを処理するためのインタフェースが用意されています。
Trusted Extensions ソフトウェアは、権利プロファイル、役割、監査、特権、および Oracle Solaris のその他のセキュリティー機能を使用します。Secure Shell、BART、暗号フレームワーク、IPsec、および IP フィルタを、Trusted Extensions で使用できます。Trusted Extensions では、スナップショットや暗号化も含め、ZFS ファイルシステムのすべての機能が使用可能です。
Trusted Extensions ソフトウェアは、Oracle Solaris OS を拡張します。次のリストに概要を示します。付録 C Trusted Extensions 管理の手引きも参照してください。
Trusted Extensions は、「ラベル」という特別なセキュリティータグを使用して、データへのアクセスを制御します。ラベルでは「必須アクセス制御」(MAC) が使用されます。MAC 保護は、UNIX のファイルアクセス権、つまり随意アクセス制御 (DAC) に追加されます。ラベルは、ユーザー、ゾーン、デバイス、ウィンドウ、およびネットワークの終端に直接割り当てられます。ラベルは、プロセス、ファイル、およびその他のシステムオブジェクトにも暗黙的に割り当てられます。
一般ユーザーが MAC を上書きすることはできません。Trusted Extensions では、一般ユーザーはラベルが割り当てられたゾーンで作業する必要があります。デフォルトでは、ラベルが割り当てられたゾーンのユーザーまたはプロセスは MAC を上書きできません。
Oracle Solaris OS と同様に、MAC の上書きを許可する場合は、セキュリティーポリシーを上書きできる機能を特定のプロセスまたはユーザーに割り当てます。たとえば、ファイルのラベルを変更できるようにユーザーを承認できます。これらの処理は、ファイル内の情報の機密度をアップグレードまたはダウングレードします。
Trusted Extensions は、既存の構成ファイルやコマンドを拡張します。たとえば、Trusted Extensions は監査イベント、承認、特権、権利プロファイルを追加します。
Trusted Extensions システムでは、Oracle Solaris システムでオプションとされている機能の中に必要なものがあります。たとえば、Trusted Extensions が設定されたシステムではゾーンと役割が必要です。
Trusted Extensions システムでは、Oracle Solaris システムでオプションとされている機能の中に有効化されるものがあります。たとえば、Trusted Extensions を構成する多くのサイトでは、ユーザーを作成したりセキュリティー属性を割り当てたりする際に、責務分離が必要となります。
Trusted Extensions では、Oracle Solaris のデフォルトの動作が変更される場合があります。たとえば、Trusted Extensions が構成されたシステムでは、デバイス割り当てが必要になります。
Trusted Extensions では、利用できる選択肢が Oracle Solaris よりも制限される場合があります。たとえば、Trusted Extensions では、すべてのゾーンがラベル付きゾーンです。Oracle Solaris と異なり、ラベル付きゾーンは同じプールのユーザー ID とグループ ID を使用する必要があります。Trusted Extensions では、複数のラベル付きゾーンで 1 つの IP アドレスを共有することもできます。
Trusted Extensions は、マルチレベル版の Oracle Solaris デスクトップである Solaris Trusted Extensions (GNOME) を提供します。この名称は Trusted GNOME と略すことができます。
Trusted Extensions には、グラフィカルユーザーインタフェース (GUI) とコマンド行インタフェース (CLI) が追加されています。たとえば、Trusted Extensions にはデバイスを管理するデバイスマネージャー GUI が用意されています。また、updatehome コマンドは、ユーザーの各ラベルのホームディレクトリに、起動ファイルを配置するために使用します。
Trusted Extensions では、管理に特定の GUI を使用する必要があります。たとえば、Trusted Extensions が構成されたシステムでは、ラベル付きゾーンを管理する際に、zonecfg コマンドのほかに Labeled Zone Manager も使用されます。
Trusted Extensions は、ユーザーが表示できる内容を制限します。たとえば、ユーザーが割り当てできないデバイスは、そのユーザーに対して表示されません。
Trusted Extensions は、ユーザーのデスクトップオプションを制限します。たとえば、ユーザーがワークステーションを非活動のままにできる時間は制限されています。この時間を過ぎると、画面がロックされます。デフォルトでは、一般ユーザーはシステムをシャットダウンできません。
マルチヘッドの Trusted Extensions システムのモニターが水平に設定されている場合、1 つのトラステッドストライプが複数のモニターにまたがって表示されます。モニターを垂直に設定すると、トラステッドストライプはいちばん下のモニターに表示されます。
マルチヘッドシステムのモニターにそれぞれ異なるワークスペースが表示されている場合、Trusted GNOME はモニターごとにトラステッドストライプを 1 つずつ表示します。