ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
マウントされたファイルシステムに対する Trusted Extensions ポリシー
シングルレベルのデータセットに対する Trusted Extensions ポリシー
マルチレベルのデータセットに対する Trusted Extensions ポリシー
MAC 読み取り/書き込みポリシーには特権のオーバーライドなし
Trusted Extensions でのファイルシステムの共有とマウントの結果
mlslabel プロパティーとシングルレベルのファイルシステムのマウント
Trusted Extensions での NFS サーバーとクライアントの構成
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (タスクマップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
マルチレベルの ZFS データセットは、異なるラベルのファイルとディレクトリを含むように設計されています。ファイルとディレクトリにはそれぞれ個別にラベルが付けられ、ファイルの移動やコピーを行うことなくラベルを変更することができます。ファイルのラベルは、データセットのラベル範囲内で変更できます。マルチレベルのデータセットの作成と共有については、「マルチレベルのデータセットを作成および共有する方法」を参照してください。
通常は、データセット内のすべてのファイルとディレクトリに、データセットがマウントされているゾーンと同じラベルが付けられます。このラベルは、データセットがゾーンに最初にマウントされたときに、mlslabel という ZFS プロパティーに自動的に記録されます。このようなデータセットはシングルレベルのラベル付きデータセットです。データセットがマウントされている間は mlslabel プロパティーを変更することはできないため、マウント先ゾーンは mlslabel プロパティーを変更できません。
mlslabel プロパティーが設定されたあとは、ゾーンのラベルがデータセットの mlslabel プロパティーと一致しないかぎり、ゾーンにデータセットを読み取り/書き込み権付きでマウントすることはできません。さらに、大域ゾーンも含めいずれかのゾーンに現在マウントされているデータセットは、ほかのゾーンにマウントできません。シングルレベルのラベル付きデータセットに含まれるファイルのラベルは固定なので、setlabel コマンドでファイルのラベルを変更すると、ファイルはターゲットラベルに対応するプライマリゾーン内の同等のパス名に実際に移動されます。このようなゾーン間の移動は、効率の低下や混乱を招くことがあります。マルチレベルのデータセットは、データのラベルを変更するための効率のよいコンテナになります。
大域ゾーンにマウントされたマルチレベルのデータセットの場合、mlslabel プロパティーのデフォルト値は ADMIN_HIGH です。この値は、データセットのラベル範囲の上限を指定します。より低いラベルを指定した場合、ゾーンからデータセットに書き込むことができるのは、そのゾーンのラベルよりも mlslabel プロパティーのほうが優位である場合だけです。
Object Label Management 権利プロファイルが割り当てられたユーザーまたは役割には、自分が DAC アクセス権を持っているファイルやディレクトリを、アップグレードまたはダウングレードする適切な特権があります。手順については、「ユーザーによるデータのセキュリティーレベルの変更を有効にする」を参照してください。
ユーザープロセスに対しては、追加のポリシー制約が適用されます。
デフォルトでは、ラベル付きゾーンのプロセスはファイルやディレクトリのラベルを変更できません。ラベル変更を有効にするには、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。ファイルのダウングレードは許可するがアップグレードは許可しないなど、より詳細な制御を指定するには、例 13-5 を参照してください。
ディレクトリが空でない場合、そのラベルを変更することはできません。
ファイルおよびディレクトリは、それを含んでいるディレクトリのラベルより下にダウングレードすることはできません。
ラベルを変更するには、下位レベルのディレクトリにファイルを移動してから、ラベルを変更します。
データセットをマウントしているゾーンは、ファイルやディレクトリをゾーンのラベルより上にアップグレードすることはできません。
ファイルがいずれかのゾーンでプロセスによって現在開かれている場合、そのラベルを変更することはできません。
ファイルおよびディレクトリは、データセットの mlslabel 値より上にアップグレードすることはできません。
大域ゾーンは、マルチレベルのデータセットを NFS 経由で Trusted Extensions システムおよびラベルなしシステムと共有できます。データセットは、大域ゾーンとラベル付きゾーン、およびラベルなしシステムにその割り当てられているラベルでマウントできます。ADMIN_LOW ラベルなしシステムは例外です。これはマルチレベルのデータセットをマウントできません。
マルチレベルのデータセットが ADMIN_HIGH より低いラベルで作成されている場合、そのデータセットを別の Trusted Extensions システムの大域ゾーンにマウントすることはできますが、ファイルはその大域ゾーンで表示のみ可能で、変更はできません。ラベル付きゾーンが別のシステムの大域ゾーンからマルチレベルのデータセットを NFS でマウントする場合は、いくつかの制限が適用されます。
NFS でマウントされたマルチレベルのデータセットには、いくつかの制限が適用されます。
Trusted Extensions の NFS クライアントは、書き込み可能なファイルに関してのみ、正しいラベルを確認できます。getlabel コマンドでは、下位レベルのファイルのラベルが、クライアントと同じラベルとして誤って報告されます。MAC ポリシーが有効になっているため、これらのファイルは読み取り専用のままになり、上位レベルのファイルは表示されません。
クライアントが持っている特権は、NFS サーバーではすべて無視されます。
これらの制限のため、自分の大域ゾーンからサービスを提供されているラベル付きゾーンのクライアントには、LOFS を使用することをお勧めします。このようなクライアントに対して NFS は機能しますが、クライアントは制限を受けます。LOFS マウントの手順については、「マルチレベルのデータセットを作成および共有する方法」を参照してください。