ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
マウントされたファイルシステムに対する Trusted Extensions ポリシー
シングルレベルのデータセットに対する Trusted Extensions ポリシー
マルチレベルのデータセットに対する Trusted Extensions ポリシー
MAC 読み取り/書き込みポリシーには特権のオーバーライドなし
Trusted Extensions での NFS サーバーとクライアントの構成
Trusted Extensions でのホームディレクトリの作成
Trusted Extensions のオートマウンタに対する変更
Trusted Extensions ソフトウェアと NFS のプロトコルバージョン
ラベル付きファイルのバックアップ、共有、マウント (タスクマップ)
Trusted Extensions でファイルをバックアップする
Trusted Extensions でマウントの失敗をトラブルシューティングする
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions では、共有ファイルによって管理が簡単になり、効率と速度を向上させることができます。MAC は常に適用されます。
ラベル付きゾーンのシングルレベルのデータセットを NFS 経由で共有する– Oracle Solaris と同様に、共有ディレクトリによって管理が簡単になります。たとえば、Oracle Solaris のマニュアルページを 1 つのシステムにインストールし、マニュアルページのディレクトリをほかのシステムと共有することができます。
大域ゾーンのマルチレベルのデータセットを LOFS 経由で共有する – LOFS でマウントされたデータセットにより、あるラベルから別のラベルにファイルを移動する際の効率と速度が向上します。ファイルはデータセット内で移動されるため、入出力操作は使用されません。
大域ゾーンのマルチレベルのデータセットを NFS 経由で共有する – NFS サーバーは、多くのラベルのファイルを含むマルチレベルのデータセットを多くのクライアントに対して共有することができます。このような構成では、管理が簡単になり、単一の場所でファイルを配布できます。特定のラベルのクライアントにサービスを提供するために、そのラベルのサーバーが必要になるわけではありません。
大域ゾーンでのファイルのマウントは、MAC ポリシーに従う Oracle Solaris でのファイルのマウントと同じです。大域ゾーンから共有されたファイルは、そのファイルのラベルで共有されます。したがって、すべてのファイルがラベル ADMIN_LOW で共有されるため、大域ゾーンのファイルシステムをほかの Trusted Extensions システムの大域ゾーンと共有することは有用ではありません。大域ゾーンがほかのシステムと共有することで役立つファイルは、マルチレベルのデータセットです。
大域ゾーンから LOFS 経由で共有されたシングルレベルのデータセットのファイルとディレクトリは、ADMIN_LOW で共有されます。たとえば、大域ゾーンの /etc/passwd ファイルと /etc/shadow ファイルを、システム上のラベル付きゾーンに LOFS でマウントすることができます。ファイルは ADMIN_LOW なので、ラベル付きゾーンで表示され、読み取り専用です。マルチレベルのデータセットのファイルとディレクトリは、そのオブジェクトのラベルで共有されます。
大域ゾーンは、マルチレベルのデータセットを NFS 経由で共有することもできます。NFS サービスがマルチレベルポートを使用するように構成されている場合、クライアントはこのデータセットのマウントをリクエストすることができます。クライアントのラベルが、クライアントの NFS マウントリクエストを処理するネットワークインタフェースの cipso テンプレートに指定されているラベル範囲内にある場合、このリクエストは成功します。
具体的には、大域ゾーンおよびマウントされたファイルの動作は、次のようになります。
Trusted Extensions クライアント上の大域ゾーンでは、共有に含まれるものはすべて読み取り可能で、ローカルの大域ゾーンのプロセスと同様に、クライアントは ADMIN_HIGH で書き込むことができます。
クライアントがラベル付きゾーンの場合、そのゾーンのラベルが共有ファイルのラベルと一致していれば、マウントされたファイルは読み取り/書き込み可能です。
クライアントがラベルなしシステムの場合、そのクライアントに割り当てられたラベルが共有ファイルのラベルと一致していれば、マウントされたファイルは読み取り/書き込み可能です。
マルチレベルのデータセットを同じシステム上のラベル付きゾーンと共有するには、大域ゾーンで LOFS を使用します。
NFS マウント上のファイルの表示とラベル変更の詳細については、「別のシステムのマルチレベルデータセットのマウント」を参照してください。
ラベル付きゾーンのファイルは、ほかのシステムとそのゾーンのラベルで共有することができます。したがって、ラベル付きゾーンのファイルシステムは、ほかの Trusted Extensions システム上にある同じラベルのゾーン、および同じラベルが割り当てられている信頼できないシステムと共有することができます。これらのマウントを仲介する ZFS プロパティーについては、「mlslabel プロパティーとシングルレベルのファイルシステムのマウント」を参照してください。
大域ゾーンからラベル付きゾーンへの LOFS マウントは、シングルレベルのデータセットの場合は読み取り専用になります。「MAC 読み取り/書き込みポリシーには特権のオーバーライドなし」で説明されているとおり、マルチレベルのデータセットの場合、MAC ポリシーはファイルおよびディレクトリのラベルごとに適用されます。
ZFS で提供されるセキュリティーラベル属性 mlslabel には、データセット内のデータのラベルが含まれます。mlslabel プロパティーは継承可能です。明示的なラベルを持つ ZFS データセットは、Trusted Extensions が構成されていない Oracle Solaris システムではマウントできません。
mlslabel プロパティーが未定義の場合、そのデフォルト値は、ラベルなしを示す文字列 none になります。
ZFS データセットをラベル付きゾーンでマウントすると、次のことが起こります。
データセットにラベルが付いていない、つまり mlslabel プロパティーが未定義の場合は、mlslabel プロパティーの値が、マウント先となるゾーンのラベルに変更されます。
大域ゾーンの場合、mlslabel プロパティーは自動的には設定されません。admin_low というラベルが明示的に付けられたデータセットは、読み取り専用でマウントする必要があります。
データセットにラベルが付いている場合、カーネルは、そのデータセットのラベルがマウント先となるゾーンのラベルと一致するか確認します。ラベルが一致しない場合には、ゾーンで下位読み取りマウントが許可されていないかぎり、マウントは失敗します。ゾーンで下位読み取りマウントが許可されている場合、低いレベルのファイルシステムは読み取り専用でマウントされます。
コマンド行から mlslabel プロパティーを設定するには、次のような内容を入力します。
# zfs set mlslabel=public export/publicinfo
初期ラベルを設定したり、デフォルト以外のラベルを高いレベルのラベルに変更したりする場合は、file_upgrade_sl 特権が必要となります。ラベルを削除する、つまりラベルを none に設定する場合は、file_downgrade_sl 特権が必要となります。この特権は、デフォルト以外のラベルを低いレベルのラベルに変更する場合にも必要となります。