JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 10 から Oracle Solaris 11 への移行     Oracle Solaris 11 Information Library (日本語)
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Oracle Solaris 10 から Oracle Solaris 11 への移行 (概要)

2.  Oracle Solaris 11 インストール方法への移行

3.  デバイスの管理

4.  ストレージ機能の管理

5.  ファイルシステムの管理

6.  ソフトウェアの管理

7.  ネットワーク構成の管理

8.  システム構成の管理

9.  セキュリティーの管理

セキュリティー機能の変更

ネットワークセキュリティー機能

削除されたセキュリティー機能

役割、権限、特権、および認証

特権の表示

ファイルとファイルシステムのセキュリティーの変更

aclmode プロパティーの再導入

ZFS ファイルシステムの暗号化

不変ゾーン

10.  仮想環境での Oracle Solaris リリースの管理

11.  ユーザーアカウント管理とユーザー環境の変更点

12.  Oracle Solaris デスクトップ機能の使用

A.  以前の Oracle Solaris 11 リリースから Oracle Solaris 11 への移行

ファイルとファイルシステムのセキュリティーの変更

次の各セクションでは、ファイルとファイルシステムのセキュリティーに加えられた変更について説明します。

aclmode プロパティーの再導入

Oracle Solaris 11 では、chmod 操作中にファイルの ACL アクセス権がどのように変更されるかを決める aclmode プロパティーが再導入されました。aclmode 値は、discardmask、および passthrough です。デフォルト値の discard はもっとも制限が厳しく、passthrough 値はもっとも制限が緩やかです。

例 9-2 ZFS ファイルでの ACL と chmod 操作との相互作用

次の例は、特定の aclmode および aclinherit プロパティー値が既存の ACL と、グループの所有権に一致するように既存の ACL アクセス権を縮小または拡大する chmod 操作との相互作用にどのような影響を及ぼすかを示しています。

この例では、aclmode プロパティーは mask に設定され、aclinherit プロパティーは restricted に設定されます。この例の ACL アクセス権は、変更中のアクセス権をより示しやすくするコンパクトモードで表示されます。

元のファイルおよびグループ所有権と ACL アクセス権は次のとおりです。

# zfs set aclmode=mask pond/whoville
# zfs set aclinherit=restricted pond/whoville

# ls -lV file.1
-rwxrwx---+  1 root     root      206695 Aug 30 16:03 file.1
               user:amy:r-----a-R-c---:-------:allow
              user:rory:r-----a-R-c---:-------:allow
         group:sysadmin:rw-p--aARWc---:-------:allow
            group:staff:rw-p--aARWc---:-------:allow
                 owner@:rwxp--aARWcCos:-------:allow
                 group@:rwxp--aARWc--s:-------:allow
              everyone@:------a-R-c--s:-------:allow

chown 操作によって file.1 のファイル所有権が変更され、所有しているユーザー amy によって出力が表示されます。例:

# chown amy:staff file.1
# su - amy
$ ls -lV file.1
-rwxrwx---+  1 amy      staff     206695 Aug 30 16:03 file.1
               user:amy:r-----a-R-c---:-------:allow
              user:rory:r-----a-R-c---:-------:allow
         group:sysadmin:rw-p--aARWc---:-------:allow
            group:staff:rw-p--aARWc---:-------:allow
                 owner@:rwxp--aARWcCos:-------:allow
                 group@:rwxp--aARWc--s:-------:allow
              everyone@:------a-R-c--s:-------:allow

次の chmod 操作では、アクセス権がより制限の厳しいモードに変更されます。この例では、変更された sysadmin グループと staff グループの ACL アクセス権が、所有しているグループのアクセス権を超えることはありません。

$ chmod 640 file.1
$ ls -lV file.1
-rw-r-----+  1 amy      staff     206695 Aug 30 16:03 file.1
               user:amy:r-----a-R-c---:-------:allow
              user:rory:r-----a-R-c---:-------:allow
         group:sysadmin:r-----a-R-c---:-------:allow
            group:staff:r-----a-R-c---:-------:allow
                 owner@:rw-p--aARWcCos:-------:allow
                 group@:r-----a-R-c--s:-------:allow
              everyone@:------a-R-c--s:-------:allow

次の chmod 操作では、アクセス権がより制限の緩やかなモードに変更されます。この例では、変更された sysadmin グループと staff グループの ACL アクセス権が、所有しているグループと同じアクセス権を許可するように復元されます。

$ chmod 770 file.1
$ ls -lV file.1
-rwxrwx---+  1 amy      staff     206695 Aug 30 16:03 file.1
               user:amy:r-----a-R-c---:-------:allow
              user:rory:r-----a-R-c---:-------:allow
         group:sysadmin:rw-p--aARWc---:-------:allow
            group:staff:rw-p--aARWc---:-------:allow
                 owner@:rwxp--aARWcCos:-------:allow
                 group@:rwxp--aARWc--s:-------:allow
              everyone@:------a-R-c--s:-------:allow

ZFS ファイルシステムの暗号化

Oracle Solaris の以前のリリースとこのリリースでは、暗号化フレームワーク機能にファイルを暗号化するための encryptdecrypt、および mac コマンドが備わっています。

Oracle Solaris 10 では ZFS 暗号化をサポートしていませんが、Oracle Solaris 11 では次の ZFS 暗号化機能をサポートしています。

例 9-3 暗号化された ZFS ファイルシステムを作成する

次の例は、暗号化された ZFS ファイルシステムの作成方法を示しています。デフォルトの暗号化ポリシーでは、最低 8 文字の長さが必要なパスフレーズの入力が求められます。

# zfs create -o encryption=on tank/data
Enter passphrase for 'tank/data': xxxxxxxx
Enter again: xxxxxxxx

ファイルシステムの暗号化の値が on になっている場合、デフォルトの暗号化アルゴリズムは aes-128-ccm です。

暗号化されたファイルシステムが作成されたあとで、その暗号化を解除することはできません。例:

# zfs set encryption=off tank/data
cannot set property for 'tank/data': 'encryption' is readonly

詳細は、『Oracle Solaris の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの暗号化」を参照してください。

不変ゾーン

Oracle Solaris 11 の新機能である file-mac-profile 機能では、読み取り専用のルートファイルシステムでゾーンを実行できます。この機能を使用すると、allzone 特権を持つプロセスに対しても、ゾーンのファイルシステムのどの程度を読み取り専用にするかを決める 4 つの定義済みプロファイルから選択できます。『Oracle Solaris のシステム管理 (Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理)』の「zonecfg の file-mac profile プロパティー」を参照してください。