Oracle Solaris のラベル付きセキュリティーは、Trusted Extensions 機能によって提供されます。
Oracle Solaris の Trusted Extensions 機能は、データの安全性ポリシーをデータ所有者から分離できるセキュリティー保護されたラベル作成テクノロジーがオプションで有効化された層です。Trusted Extensions では、所有権に基づいた従来の随意アクセス制御 (DAC) ポリシーと、ラベルに基づいた必須アクセス制御 (MAC) ポリシーの両方がサポートされています。Trusted Extensions 層が有効になっている場合を除いて、すべてのラベルは同じであるため、カーネルは MAC ポリシーを強制するように構成されません。ラベルに基づいた MAC ポリシーが有効になっている場合は、アクセスを要求するプロセス (サブジェクト) とデータを含むオブジェクトに関連付けられたラベルの比較に基づいて、すべてのデータフローが制限されます。
Trusted Extensions の実装は、互換性を最大限に確保し、オーバーヘッドを最小限に抑えながら、高度な保証を提供できるという点で独自性があります。Trusted Extensions は、Oracle Solaris 11 の Common Criteria EAL4+ 認定の一部です。
Trusted Extensions は、Common Criteria の Labeled Security Package (LSP) の要件を満たしています。Oracle Solaris 11 の Common Criteria EAL4+ 認定を参照してください。
詳細については、次を参照してください。
Trusted Extensions の構成と保守の詳細については、Trusted Extensions 構成と管理を参照してください。
選択したマニュアルページには、trusted_extensions(5)、labeladm(1M)、および labeld(1M) が含まれています。
デフォルトでは、ある 1 つのラベルが付けられたゾーン内のファイルシステムには、その同じラベルが割り当てられます。マルチレベルの ZFS データセットを作成し、それを Trusted Extensions システムにマウントし、適切なアクセス権を使用してそのデータセット内のファイルをアップグレードおよびダウングレードできます。詳細は、Trusted Extensions 構成と管理 の ファイルのラベル変更に使用されるマルチレベルのデータセットを参照してください。
Trusted Extensions は、ネットワーク通信にラベルを付けます。送信元ネットワークのエンドポイントに関連付けられたラベルと受信先ネットワークのエンドポイントに関連付けられたラベルの比較に基づいて、データフローが制限されます。ゲートウェイと中間ホップにもラベルを付けて、通信のラベルで情報が通過できるようにする必要があります。NFS とマルチレベルの ZFS データセットによって、ネットワークに追加機能が提供されます。
詳細については、次を参照してください。
Trusted Extensions 構成と管理 の Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions 構成と管理 の 第 16 章, Trusted Extensions でのネットワークの管理
その他の大部分のマルチレベルオペレーティングシステムとは異なり、Trusted Extensions にはマルチレベルデスクトップが含まれています。自分に許可されたラベルだけが表示されるようにユーザーを構成できます。各ラベルは、別個のパスワードを要求するように構成できます。
詳細は、Trusted Extensions ユーザーズガイドを参照してください。ユーザーを構成するには、Trusted Extensions 構成と管理 の 第 11 章, Trusted Extensions でのユーザー、権利、役割の管理を参照してください。