ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 10 から Oracle Solaris 11 への移行 Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris 10 から Oracle Solaris 11 への移行 (概要)
2. Oracle Solaris 11 インストール方法への移行
10. 仮想環境での Oracle Solaris リリースの管理
次の各セクションでは、ファイルとファイルシステムのセキュリティーに加えられた変更について説明します。
Oracle Solaris 11 では、chmod 操作中にファイルの ACL アクセス権がどのように変更されるかを決める aclmode プロパティーが再導入されました。aclmode 値は、discard、mask、および passthrough です。デフォルト値の discard はもっとも制限が厳しく、passthrough 値はもっとも制限が緩やかです。
例 9-2 ZFS ファイルでの ACL と chmod 操作との相互作用
次の例は、特定の aclmode および aclinherit プロパティー値が既存の ACL と、グループの所有権に一致するように既存の ACL アクセス権を縮小または拡大する chmod 操作との相互作用にどのような影響を及ぼすかを示しています。
この例では、aclmode プロパティーは mask に設定され、aclinherit プロパティーは restricted に設定されます。この例の ACL アクセス権は、変更中のアクセス権をより示しやすくするコンパクトモードで表示されます。
元のファイルおよびグループ所有権と ACL アクセス権は次のとおりです。
# zfs set aclmode=mask pond/whoville # zfs set aclinherit=restricted pond/whoville # ls -lV file.1 -rwxrwx---+ 1 root root 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
chown 操作によって file.1 のファイル所有権が変更され、所有しているユーザー amy によって出力が表示されます。例:
# chown amy:staff file.1 # su - amy $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
次の chmod 操作では、アクセス権がより制限の厳しいモードに変更されます。この例では、変更された sysadmin グループと staff グループの ACL アクセス権が、所有しているグループのアクセス権を超えることはありません。
$ chmod 640 file.1 $ ls -lV file.1 -rw-r-----+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:r-----a-R-c---:-------:allow group:staff:r-----a-R-c---:-------:allow owner@:rw-p--aARWcCos:-------:allow group@:r-----a-R-c--s:-------:allow everyone@:------a-R-c--s:-------:allow
次の chmod 操作では、アクセス権がより制限の緩やかなモードに変更されます。この例では、変更された sysadmin グループと staff グループの ACL アクセス権が、所有しているグループと同じアクセス権を許可するように復元されます。
$ chmod 770 file.1 $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
Oracle Solaris の以前のリリースとこのリリースでは、暗号化フレームワーク機能にファイルを暗号化するための encrypt、decrypt、および mac コマンドが備わっています。
Oracle Solaris 10 では ZFS 暗号化をサポートしていませんが、Oracle Solaris 11 では次の ZFS 暗号化機能をサポートしています。
ZFS 暗号化は ZFS コマンドセットと統合されています。ほかの ZFS 操作と同様に、鍵の変更および鍵の再入力操作はオンラインで実行されます。
既存のストレージプールがアップグレードされていれば、それを使用できます。特定のファイルシステムの暗号化には柔軟性があります。
ZFS 暗号化は子孫のファイルシステムに継承できます。鍵管理は、ZFS 委任管理を通じて委任できます。
データは、CCM および GCM 操作モードで鍵長が 128,192、および 256 の AES (Advanced Encryption Standard) を使用して暗号化されます。
ZFS 暗号化では、暗号化フレームワーク機能を使用します。これにより、利用可能なハードウェアアクセラレーションや、暗号化アルゴリズムの最適化されたソフトウェア実装に自動的にアクセスできます。
例 9-3 暗号化された ZFS ファイルシステムを作成する
次の例は、暗号化された ZFS ファイルシステムの作成方法を示しています。デフォルトの暗号化ポリシーでは、最低 8 文字の長さが必要なパスフレーズの入力が求められます。
# zfs create -o encryption=on tank/data Enter passphrase for 'tank/data': xxxxxxxx Enter again: xxxxxxxx
ファイルシステムの暗号化の値が on になっている場合、デフォルトの暗号化アルゴリズムは aes-128-ccm です。
暗号化されたファイルシステムが作成されたあとで、その暗号化を解除することはできません。例:
# zfs set encryption=off tank/data cannot set property for 'tank/data': 'encryption' is readonly
詳細は、『Oracle Solaris の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの暗号化」を参照してください。
Oracle Solaris 11 の新機能である file-mac-profile 機能では、読み取り専用のルートファイルシステムでゾーンを実行できます。この機能を使用すると、allzone 特権を持つプロセスに対しても、ゾーンのファイルシステムのどの程度を読み取り専用にするかを決める 4 つの定義済みプロファイルから選択できます。『Oracle Solaris のシステム管理 (Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理)』の「zonecfg の file-mac profile プロパティー」を参照してください。