ゾーンの管理 (タスクマップ)

ドキュメントの品質向上のためのご意見をください

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります内容の品質向上と追加コメントのためのアンケートに参加されますか？

次のタスクマップでは、Trusted Extensions に固有のゾーン管理タスクについて説明します。このマップでは、Oracle Solaris システムの場合と同様に、Trusted Extensions で実行される一般的な手順へのリンクも示します。

タスク	説明	参照先
すべてのゾーンの表示	任意のラベルで、現在のゾーンのほうが優位であるゾーンを表示します。	「作成済みまたは実行中のゾーンを表示する」
マウントされたディレクトリの表示	任意のラベルで、現在のラベルのほうが優位であるディレクトリを表示します。	「マウントされたファイルのラベルを表示する」
一般ユーザーが `/etc` ファイルを表示できるようにする	ラベル付きゾーンでデフォルトでは表示されない大域ゾーンから、ディレクトリまたはファイルをループバックマウントします。	「通常はラベル付きゾーンから表示されないファイルをループバックマウントする」
一般ユーザーが上位レベルのラベルから下位レベルのホームディレクトリを表示できないようにします。	デフォルトでは、上位レベルのゾーンから下位レベルのディレクトリを表示できます。下位ゾーンの 1 つのマウントを無効にすると、下位ゾーンのマウントはすべて無効になります。	「下位ファイルのマウントを無効にする」
ファイルのラベルを変更するためにマルチレベルのデータセットを作成します。	1 つの ZFS データセットのファイルのラベルを変更できるようにします。特権は必要ありません。	「マルチレベルのデータセットを作成および共有する方法」
ファイルのラベルを変更できるようにゾーンを構成します。	デフォルトでは、ラベル付きゾーンには、承認ユーザーがファイルに再ラベル付けする特権がありません。ゾーン構成を修正して特権を追加します。	「ラベル付きゾーンからファイルに再ラベル付けできるようにする」
ZFS データセットをラベル付きゾーンに接続して共有します。	ZFS データセットを読み取り/書き込み権でラベル付きゾーンにマウントし、そのデータセットを読み取り専用で上位のゾーンと共有します。	「ラベル付きゾーンの ZFS データセットを共有する」.
新しいプライマリゾーンを構成します。	このシステムでゾーンのラベル付けに現在使用されていないラベルに、ゾーンを作成します。	「ラベル付きゾーンを対話形式で作成する」を参照してください。
セカンダリゾーンを構成します。	デスクトップを必要としないサービスを分離するためにゾーンを作成します。	「セカンダリラベル付きゾーンを作成する方法」.
アプリケーション用のマルチレベルポートを作成します。	マルチレベルポートは、ラベル付きゾーンへのマルチレベルフィードを必要とするプログラムに役立ちます。	「ゾーンにマルチレベルポートを作成する」例 16-19
NFS マウントとアクセスの問題をトラブルシューティングします。	マウントと、場合によってはゾーンに関する一般的なアクセス上の問題をデバッグします。	「Trusted Extensions でマウントの失敗をトラブルシューティングする」
ラベル付きゾーンを削除します。	ラベル付きゾーンをシステムから完全に削除します。	『Oracle Solaris 11.1 の管理: Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理』の「非大域ゾーンを削除する方法」

作成済みまたは実行中のゾーンを表示する

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

txzonemgr & コマンドを実行します。
ゾーンの名前、ステータス、およびラベルが GUI に表示されます。

または、zoneadm list -v コマンドを使用します。

# zoneadm list -v
ID NAME       STATUS     PATH              BRAND       IP 
 0 global     running    /                 ipkg        shared
 5 internal   running    /zone/internal    labeled     shared
 6 public     running    /zone/public      labeled     shared

ゾーンのラベルは出力に表示されません。

マウントされたファイルのラベルを表示する

この手順では、現在のゾーンでマウントされたファイルシステムを表示するシェルスクリプトを作成します。大域ゾーンからこのスクリプトを実行すると、各ゾーンでマウントされたすべてのファイルシステムのラベルが表示されます。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

エディタで getmounts スクリプトを作成します。
/usr/local/scripts/getmounts など、スクリプトへのパス名を入力します。

次の内容を追加して、ファイルを保存します。

#!/bin/sh
#
for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
        /usr/bin/getlabel $i
done

大域ゾーンでスクリプトをテストします。

# /usr/local/scripts/getmounts
/:      ADMIN_HIGH
/dev:   ADMIN_HIGH
/system/contract:        ADMIN_HIGH
/proc:                   ADMIN_HIGH
/system/volatile:        ADMIN_HIGH
/system/object:          ADMIN_HIGH
/lib/libc.so.1:          ADMIN_HIGH
/dev/fd:        ADMIN_HIGH
/tmp:           ADMIN_HIGH
/etc/mnttab:    ADMIN_HIGH
/export:        ADMIN_HIGH
/export/home:   ADMIN_HIGH
/export/home/jdoe:   ADMIN_HIGH
/zone/public:        ADMIN_HIGH
/rpool:              ADMIN_HIGH
/zone:               ADMIN_HIGH
/home/jdoe:          ADMIN_HIGH
/zone/public:        ADMIN_HIGH
/zone/snapshot:      ADMIN_HIGH
/zone/internal:      ADMIN_HIGH
...

例 13-1 restricted ゾーンでのファイルシステムのラベルの表示

一般ユーザーがラベル付きゾーンから getmounts スクリプトを実行すると、そのゾーンでマウントされたすべてのファイルシステムのラベルが表示されます。デフォルトの label_encodings ファイル内の各ラベルに対してゾーンが作成されたシステムでは、restricted ゾーンのサンプル出力は次のとおりです。

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/jdoe:   CONFIDENTIAL : RESTRICTED

通常はラベル付きゾーンから表示されないファイルをループバックマウントする

この手順では、指定されたラベル付きゾーンのユーザーが、デフォルトでは大域ゾーンからエクスポートされないファイルを表示できるようにします。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

構成を変更するゾーンを停止します。
```
# zoneadm -z zone-name halt
```
ファイルまたはディレクトリをループバックマウントします。
たとえば、一般ユーザーが /etc ディレクトリにあるファイルを表示できるようにします。
```
# zonecfg -z zone-name
 add filesystem
 set special=/etc/filename
 set directory=/etc/filename
 set type=lofs
 add options [ro,nodevices,nosetuid]
 end
 exit
```
ゾーンを起動します。
```
# zoneadm -z zone-name boot
```

例 13-2 /etc/passwd ファイルのループバックマウント

この例でセキュリティー管理者は、テスターおよびプログラマのローカルパスワードが設定されていることをそのテスターやプログラマ自身が確認できるようにします。sandbox ゾーンが停止されたあと、passwd ファイルをループバックマウントするように構成されます。次に、ゾーンが再起動されます。

# zoneadm -z sandbox halt
# zonecfg -z sandbox
 add filesystem
    set special=/etc/passwd
    set directory=/etc/passwd
    set type=lofs
    add options [ro,nodevices,nosetuid]
 end
 exit
# zoneadm -z sandbox boot

下位ファイルのマウントを無効にする

デフォルトでは、ユーザーは下位レベルのファイルを表示できます。特定ゾーンから下位レベルのすべてのファイルを表示することを禁止するには、net_mac_aware 特権を削除します。net_mac_aware 特権については、privileges(5) のマニュアルページを参照してください。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

構成を変更するゾーンを停止します。
```
# zoneadm -z zone-name halt
```
下位レベルのファイルの表示を禁止するようにゾーンを構成します。
ゾーンから net_mac_aware 特権を削除します。
```
# zonecfg -z zone-name
 set limitpriv=default,!net_mac_aware
 exit
```
ゾーンを再起動します。
```
# zoneadm -z zone-name boot
```

例 13-3 ユーザーによる下位ファイルの表示を禁止する

この例でセキュリティー管理者は、このシステム上のユーザーが混乱しないように構成しようとします。そのため、ユーザーは自身が作業中のラベルでしかファイルを表示できなくなります。セキュリティー管理者は、下位レベルのすべてのファイルの表示を禁止します。このシステムで、ユーザーは PUBLIC ラベルで作業しないかぎり、共通で利用可能なファイルを表示することができません。また、ユーザーはゾーンのラベルでファイルを NFS マウントできるだけです。

# zoneadm -z restricted halt
# zonecfg -z restricted
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z restricted boot

# zoneadm -z needtoknow halt
# zonecfg -z needtoknow
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z needtoknow boot

# zoneadm -z internal halt
# zonecfg -z internal
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z internal boot

PUBLIC は最小のラベルなので、セキュリティー管理者は PUBLIC ゾーンに対するコマンドは実行しません。

ラベル付きゾーンの ZFS データセットを共有する

この手順では、ZFS データセットを読み取り/書き込み権でラベル付きゾーンにマウントします。すべてのコマンドが大域ゾーンで実行されるため、大域ゾーン管理者がラベル付きゾーンへの ZFS データセットの追加を制御します。

データセットを共有するには、最低でもラベル付きゾーンが ready 状態である必要があります。ラベル付きゾーンが running 状態であっても構いません。

始める前に

データセットを持つゾーンを構成するには、最初にそのゾーンを停止する必要があります。大域ゾーンで root 役割になっている必要があります。

ZFS データセットを作成します。
```
# zfs create datasetdir/subdir
```
データセットの名前には、zone/data などのディレクトリを含めることができます。
大域ゾーンで、ラベル付きゾーンを停止します。
```
# zoneadm -z labeled-zone-name halt
```
データセットのマウントポイントを設定します。
```
# zfs set mountpoint=legacy datasetdir/subdir
```
ZFS mountpoint プロパティーで、マウントポイントがラベル付きゾーンに対応付けられたときのマウントポイントのラベルを設定します。
データセットを共有できるようにします。
```
# zfs set sharenfs=on datasetdir/subdir
```
ラベル付きゾーンにデータセットをファイルシステムとして追加します。
```
# zonecfg -z labeled-zone-name
# zonecfg:labeled-zone-name> add fs
# zonecfg:labeled-zone-name:dataset> set dir=/subdir
# zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
# zonecfg:labeled-zone-name:dataset> set type=zfs
# zonecfg:labeled-zone-name:dataset> end
# zonecfg:labeled-zone-name> exit
```
データセットをファイルシステムとして追加することにより、データセットがゾーンの /data にマウントされます。この手順により、ゾーンがブートする前にデータセットがマウントされないようになります。
ラベル付きゾーンをブートします。
```
# zoneadm -z labeled-zone-name boot
```
ゾーンがブートすると、データセットが、labeled-zone-name ゾーンのラベルを持つ labeled-zone-name ゾーンの読み取り/書き込みマウントポイントとして自動的にマウントされます。

例 13-4 ラベル付きゾーンの ZFS データセットを共有してマウントする

この例では、管理者は ZFS データセットを needtoknow ゾーンに追加し、そのデータセットを共有します。データセット zone/data は現在、/mnt マウントポイントに割り当てられています。restricted ゾーンのユーザーはそのデータセットを表示できます。

最初に、管理者はゾーンを停止します。

# zoneadm -z needtoknow halt

データセットは現在別のマウントポイントに割り当てられているため、管理者は以前の割り当てを削除してから、新しいマウントポイントを設定します。

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

次に、管理者はデータセットを共有します。

# zfs set sharenfs=on zone/data

次に、zonecfg 対話型インタフェースで、管理者はデータセットを needtoknow ゾーンに明示的に追加します。

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

次に、管理者は needtoknow ゾーンをブートします。

# zoneadm -z needtoknow boot

これで、データセットはアクセス可能になります。

restricted ゾーンは needtoknow ゾーンよりも優位であり、ユーザーは /data ディレクトリに変更することでマウントされたデータセットを表示できます。ユーザーは、大域ゾーンを基準にして、マウントされたデータセットへのフルパスを使用します。この例では、machine1 はラベル付きゾーンを含むシステムのホスト名です。管理者は、このホスト名を共有していない IP アドレスに割り当てています。

# cd /net/machine1/zone/needtoknow/root/data

注意事項

上位ラベルからデータセットにアクセスしようとして、エラー not found または No such file or directory が返された場合、管理者は svcadm restart autofs コマンドを実行して、オートマウンタサービスを再起動する必要があります。

ラベル付きゾーンからファイルに再ラベル付けできるようにする

ユーザーがファイルに再ラベル付けできるようにする場合、この手順が前提条件となります。

始める前に

構成する予定のゾーンを停止する必要があります。大域ゾーンでセキュリティー管理者役割になります。

Labeled Zone Manager を開きます。
```
# /usr/sbin/txzonemgr &
```
再ラベル付けできるようにゾーンを構成します。
1. ゾーンをダブルクリックします。
2. 一覧から「Permit Relabeling」を選択します。
「ブート」を選択してゾーンを再起動します。
「取消し」をクリックしてゾーン一覧に戻ります。
再ラベル付けを許可するユーザーおよびプロセスの要件については、setflabel(3TSOL) のマニュアルページを参照してください。ユーザーによるファイルの再ラベル付けを承認する方法については、「ユーザーによるデータのセキュリティーレベルの変更を有効にする」を参照してください。

例 13-5 internal ゾーンからのダウングレードのみ許可する

この例では、セキュリティー管理者は zonecfg コマンドを使用して、CNF: INTERNAL USE ONLY ゾーンの情報のダウングレードを許可しますが、アップグレードは禁止します。

# zonecfg -z internal set limitpriv=default,file_downgrade_sl

例 13-6 internal ゾーンからのダウングレードの禁止

この例では、セキュリティー管理者は、以前ファイルをダウングレードするために使用されていたシステム上で、CNF: INTERNAL USE ONLY ファイルのダウングレードを禁止します。

管理者は Labeled Zone Manager を使用して、internal ゾーンを停止したあと、internal ゾーンのメニューから「Deny Relabeling」を選択します。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語)