ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
Trusted Extensions でのファイルの共有とマウント
Trusted Extensions での NFS マウントされたファイルシステムへのアクセス
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (作業マップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions の NFS マウントは Oracle Solaris マウントと類似しています。違いは、MAC ポリシーの実施にあります。さらに、txzonemgr スクリプトは、ホームディレクトリが /export/home としてマウントされるものと仮定します。
Trusted Extensions の NFS 共有は、大域ゾーンの Oracle Solaris 共有と類似しています。ただし、マルチレベルシステムでのラベル付きゾーンの共有は Trusted Extensions に特有のものです。
大域ゾーンでの共有とマウント – Trusted Extensions システムの大域ゾーンでのファイルの共有とマウントは、Oracle Solaris での手順とほぼ同じです。ファイルのマウントについては、オートマウンタと mount コマンドを使用できます。ファイルの共有には、ZFS データセットの sharenfs プロパティーが使用されます。
ラベル付きゾーンでのマウント – Trusted Extensions のラベル付きゾーンでのファイルのマウントは、Oracle Solaris の非大域ゾーンでのファイルのマウントとほぼ同じです。ファイルのマウントについては、オートマウンタと mount コマンドを使用できます。Trusted Extensions では、各ラベル付きゾーンに対して、一意の auto_home_zone-name 構成ファイルが存在します。
ラベル付きゾーンでの共有 – ラベル付きゾーン内のファイルは、ZFS 共有プロパティーを使用してそのゾーンのラベルで共有できます。詳細は、「大域ゾーンプロセスとラベル付きゾーン」を参照してください。
どのファイルをマウントできるかには、ラベルが影響します。ファイルは特定のラベルで共有されてマウントされます。
Trusted Extensions システムが別の Trusted Extensions システムのファイルシステムをマウントできるためには、サーバーとクライアントが互換性のある cipso タイプの遠隔ホストテンプレートを持っている必要があります。
Trusted Extensions クライアントが NFS マウントされたファイルシステムに書き込みできるためには、そのファイルシステムが読み取り/書き込み権付きでマウントされ、かつクライアントと同じラベルにある必要があります。
Trusted Extensions システムがラベルなしシステムのファイルシステムをマウントできるためには、Trusted Extensions システムによってラベルなしシステムに割り当てられたシングルラベルが、Trusted Extensions システムのラベルに一致する必要があります。
同様に、ラベル付きゾーンがラベルなしシステムのファイルシステムをマウントできるためには、Trusted Extensions システムによってラベルなしシステムに割り当てられたシングルラベルが、ラベル付きゾーンのラベルに一致する必要があります。
マウント先のゾーンとは異なるラベルを持つファイルシステムが LOFS でマウントされた場合、そのファイルシステムは表示はできますが、変更はできません。NFS マウントについては、「 Trusted Extensions での NFS マウントされたファイルシステムへのアクセス」を参照してください。
どのディレクトリおよびファイルを表示できるかにも、ラベルが影響します。デフォルトでは、下位レベルのオブジェクトはユーザーの環境で利用できます。したがって、デフォルト構成の場合、一般ユーザーはそのユーザーの現在のレベルより下位レベルのゾーンにあるファイルを表示できます。たとえば、ユーザーは上位レベルのラベルから下位レベルのホームディレクトリを表示できます。詳細は、「Trusted Extensions でのホームディレクトリの作成」を参照してください。
サイトのセキュリティーによって下位レベルのオブジェクトの表示が禁止されている場合、管理者は下位レベルのファイルシステムをユーザーから隠すことができます。詳細は、「下位ファイルのマウントを無効にする」を参照してください。
Trusted Extensions のマウントポリシーが MAC より優先されることはありません。下位ラベルで表示されるマウント済みファイルは、上位ラベルのプロセスで変更できません。この MAC ポリシーは大域ゾーンでも有効です。大域ゾーン ADMIN_HIGH プロセスは、PUBLIC ファイルまたは ADMIN_LOW ファイルなど、下位ラベルの NFS マウントされたファイルを変更することはできません。MAC ポリシーはデフォルト構成を強制し、一般ユーザーからは不可視です。一般ユーザーは、MAC アクセスできないかぎりオブジェクトを表示できません。