Go to main content
Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

Trusted Extensions ソフトウェアによるデバイス保護

Oracle Solaris システムでは、割り当てと承認によってデバイスを保護できます。デフォルトでは、デバイスは承認のない一般ユーザーにも利用可能です。Trusted Extensions 機能が構成されたシステムは、Oracle Solaris OS のデバイス保護メカニズムを使用します。

ただし、Trusted Extensions の場合、デフォルトでは、デバイスを使用するには割り当てが必要であり、デバイスを使用するユーザーに承認が必要です。さらに、デバイスはラベルによっても保護されます。Trusted Extensions には、デバイスを管理する管理者向けのグラフィカルユーザーインタフェース (GUI) が用意されています。ユーザーがデバイスを割り当てる際にも、同じインタフェースを使用します。

注 - Trusted Extensions では、ユーザーは allocate コマンドと deallocate コマンドを使用できません。ユーザーは、デバイスマネージャーを使用する必要があります。

Oracle Solaris でのデバイス保護については、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の 第 4 章, デバイスアクセスの制御を参照してください。

    Trusted Extensions が構成されたシステムでは、2 つの役割がデバイスを保護します。

  • システム管理者役割は、周辺機器へのアクセスを制御します。

    システム管理者は、デバイスを割り当て可能にします。システム管理者が割り当て不可に設定したデバイスは、どのユーザーも使用できません。割り当て可能なデバイスは、承認ユーザーによってのみ割り当てられます。

  • セキュリティー管理者役割は、デバイスにアクセスできるラベルを制限し、デバイスポリシーを設定します。セキュリティー管理者は、デバイス割り当てを承認されるユーザーを決定します。

    Trusted Extensions ソフトウェアによるデバイス制御の主な機能は、次のとおりです。

  • デフォルトでは、Trusted Extensions システムの未承認ユーザーは、テープドライブや CD-ROM ドライブなどのデバイスを割り当てることができません。

    「デバイスの割り当て」承認を持つ一般ユーザーは、そのユーザーがデバイスを割り当てるラベルで情報をインポートまたはエクスポートできます。

  • ユーザーが直接ログインしている場合は、デバイス割り当てマネージャーを起動してデバイスを割り当てます。デバイスをリモートで割り当てるには、ユーザーが大域ゾーンにアクセスできる必要があります。通常は、役割だけが大域ゾーンにアクセスできます。

  • 各デバイスのラベル範囲は、セキュリティー管理者によって制限されます。一般ユーザーがアクセスできるのは、そのユーザーが作業を許可されているラベルを含むラベル範囲を持つデバイスだけです。デバイスのデフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。

  • 割り当て可能なデバイスにも、割り当て不可のデバイスにも、ラベル範囲を制限できます。割り当て不可のデバイスは、フレームバッファーやプリンタなどのデバイスです。

デバイスのラベル範囲

ユーザーが機密情報をコピーできないように、割り当て可能な各デバイスにはラベル範囲があります。割り当て可能なデバイスを使用するには、ユーザーが現在そのデバイスのラベル範囲で操作している必要があります。それ以外のユーザーには、割り当てが拒否されます。ユーザーの現在のラベルは、デバイスがそのユーザーに割り当てられている間にインポートまたはエクスポートされるデータに適用されます。エクスポートされたデータのラベルは、デバイスが割り当て解除されるときに表示されます。エクスポートされたデータを含むメディアには、ユーザーが物理的にラベルを付ける必要があります。

デバイスに対するラベル範囲の効果

コンソールによる直接ログインアクセスを制限するために、セキュリティー管理者はフレームバッファーに制限付きのラベル範囲を設定できます。

たとえば、制限付きのラベル範囲を指定して、公共アクセス可能なシステムへのアクセスを制限することもできます。ラベル範囲を使用すると、ユーザーはそのフレームバッファーのラベル範囲内でのみシステムにアクセスできるようになります。

ホストにローカルプリンタがある場合、プリンタに制限付きのラベル範囲を設定することによって、プリンタで印刷できるジョブを制限できます。

デバイスアクセスポリシー

Trusted Extensions は Oracle Solaris と同じデバイスポリシーに従います。セキュリティー管理者は、デフォルトのポリシーを変更し、新しいポリシーを定義できます。getdevpolicy コマンドでデバイスポリシーに関する情報を取り出し、update_drv コマンドでデバイスポリシーを変更します。詳細は、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の デバイスポリシーの構成を参照してください。getdevpolicy(1M) および update_drv(1M) のマニュアルページも参照してください。

デバイスクリーンスクリプト

デバイスクリーンスクリプトは、デバイスを割り当てるとき、または割り当て解除するときに実行されます。Oracle Solaris には、テープドライブおよび CD-ROM ドライブ用のスクリプトが用意されています。サイトで割り当て可能なデバイスタイプをシステムに追加した場合、追加したデバイスにスクリプトが必要な場合があります。既存のスクリプトを確認する場合は、/etc/security/lib ディレクトリに移動します。詳細は、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の デバイスクリーンスクリプトを参照してください。

Trusted Extensions ソフトウェアの場合、デバイスクリーンスクリプトは一定の要件を満たさなくてはなりません。この要件については、device_clean(5) のマニュアルページを参照してください。

Copyright © 1992, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ