labeladm - Trusted Extensions セキュリティーラベル付けサービスの管理
labeladm
labeladm info
labeladm enable [-n | -fim | -fr] [ -q]
labeladm disable [-n | -fim | -fr] [ -q]
labeladm encodings [<label-encodings-file>]
labeladm は、Trusted Extensions 機能によって提供されるラベル付けサービスを制御します。
パラメータがない場合、デフォルトのサブコマンドは info です。info サブコマンドは、ラベル付けサービスおよびラベル付けプロパティーのステータスに関する詳細を表示します。
enable および disable サブコマンドは、Trusted Extensions セキュリティーラベル付けサービスをそれぞれ有効および無効にします。これらのサブコマンドは、ラベル付けステータスを変更する前に、システムを最初に適切な状態に設定します。有効化および無効化の操作はそれぞれ非同期的に発生し、labeladm コマンドは有効化または無効化が完了する前に戻ります。
次の記述は、デフォルトの有効化および無効化の動作を示し、–r (リブート時に適用) オプションが使用された場合は適用されません。すべての smf(7) マイルストーンサービスが一時的に無効になります。これによって、実行中のすべてのゾーンが停止され、すべてのコンソールおよびネットワークサービスが停止されて関連する接続が閉じられることに注意してください。さらに、disable サブコマンドの場合のみ、ラベル付きのデータに確実にアクセスされないようにするために、アンマウント可能なすべての zfs ファイルシステムが強制的にアンマウントされます。有効化または無効化の操作そのものが完了したあと、すべての zfs ファイルシステムが必要に応じてマウントされ、すべてのマイルストーンサービスが再度有効化されます。ゾーンはこのプロセス中にブートされます (自動ブートの詳細については、zones(7) を参照してください)。これらの理由のため、有効化または無効化は数分かかることが予期されます。
ゾーンは有効化または無効化のあとも存在する場合があります。ラベル付けを有効にしたあと、ラベルのない既存のゾーンは最初にラベル付きゾーンとして構成されないかぎり使用できません。tncfg(8) を参照してください。
ラベル付けを無効にしたあと、ラベル付きゾーンは使用できなくなり、ラベル付きゾーンのデータセットおよびその他のラベル付きデータセットはマウント不能になります。ラベルのない以前のすべてのゾーンは、ラベル付けを無効にしたあと再度使用可能になります。
enable および disable サブコマンドはデフォルトで対話型で、要求された操作を実行するための確認が必要です。–f オプションはこれをオーバーライドし、コマンドを非対話型にします。
エンコーディングサブコマンドは、有効なラベルエンコーディングファイルを取得または設定します。引数がない場合は有効なエンコーディングファイル名が表示されます。それ以外の場合は、有効なエンコーディングファイルを設定するために、指定されたファイルが使用されます。指定されたファイルは chk_encodings(8) を使用して検証されます。これはその後、一意の名前を持つシステムディレクトリにコピーされます。labeladm info サブコマンドも、アクティブなエンコーディングファイル名を表示します。有効な設定を行うために encodings サブコマンドが使用されない場合は、システムのデフォルトのエンコーディングファイルが使用されます。新しい設定を有効にするために labeld サービスが自動的に再起動されます。
Trusted Extensions の有効化または無効化、またはそのプロパティーの変更 (有効なエンコーディングファイルなど) は、solaris.smf.manage.labels 承認を持つユーザーまたは役割によってのみ実行できます。たとえば、Information Security または Object Label Management 権利プロファイルを保持するユーザーまたは役割です。
サポートしているオプションは、次のとおりです。
強制モード – チェックを行わずに有効化または無効化を実行します。たとえば、現在の状態および進行中の動作のチェックです。このオプションは慎重に使用してください。
非対話型モード – このオプションを使用しない場合、有効化または無効化要求の確認を求めるプロンプトがユーザーに表示されます。
テストのみ – 変更は行われません。なんらかの潜在的な問題が検出された場合、エラー値が返されて、–q が使用されない場合はエラーメッセージが表示されます。
正常終了またはエラーメッセージを syslog およびコンソールに送信します。labeladm が正常に完了しない一部のエラーについては、このオプションに関係なく syslog メッセージを生成できます。
非出力 – コマンド行メッセージは生成されません。このオプションが使用される場合は、–i オプションも使用されます。
有効化または無効化は、システムがリブートするまで有効ではありません。ゾーンとシステムサービスは、通常のブート処理を除いて影響を受けません。
次の終了ステータスが返されます。
正常終了。enable および disable サブコマンドの場合、操作が正常に開始され、非同期に続行されます。
エラーが発生しました。
無効な使用法。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
is_system_labeled(3C), labels(7), trusted_extensions(7), chk_encodings(8), labeld(8), tncfg(8)