Go to main content

マニュアルページ セクション 8: システム管理コマンド

印刷ビューの終了

更新: 2018年8月8日
 
 

sandboxadm (8)

名前

sandboxadm - Sandbox administration

形式

/usr/bin/sandboxadm
sandboxadm create -s <sandbox> -u <username>
               [[-c <classification] | [-p <parent_sandbox>]]
               [-g <group,[group]...]
               [-h <homedir>]
sandboxadm destroy -s <sandbox> [-u]
sandboxadm list [-l] [[-p <parent_sandbox> | -c]
sandboxadm info [-s <sandbox>] [-e]
sandboxadm verify -s <svcname> [-t | -u] [-k <keep_compartments>]
sandboxadm init
		[-f <encodings_file>]
		[-c <classification_prefix>]
		[-i <classification_instances>]
		[-s <compartment_prefix>]
		[-n <number_of_compartments>]
		[-x <extra_compartments>]

説明

sandboxadm コマンドは、セキュリティー隔離およびリソース管理を提供するサンドボックスを管理します。

サブコマンド

サポートされているサブコマンドは次のとおりです。

create

新しいサンドボックスを作成します。これは Sandbox Management 権利プロファイルの使用を要求する特権操作です。create サブコマンドは次のオプションをサポートします。

–s sandbox

新しいサンドボックスの名前。名前は大文字と小文字が区別され、一意である必要があります。サンドボックス名は、プロジェクトを指定するためにも使用されます。その名前のプロジェクトが存在しない場合、新しいプロジェクトが作成されます。

–u username

サンドボックスに関連付けられるアカウント。ユーザー名によって指定されるアカウントが存在しない場合は、新しいホームディレクトリとともにアカウントが作成され、ユーザーの認可上限はサンドボックスのラベルに設定されます。

アカウントがすでに存在し、明示的な認可上限がない場合、そのユーザーの認可上限はサンドボックスの認可上限に設定されます。それ以外の場合、ユーザーの認可上限は、既存の認可上限とサンドボックスのラベルのうちの小さい方の上限に設定されます。

サンドボックスについての親が指定された場合、アカウントのホームディレクトリはサンドボックスのラベルを使用して再帰的にラベル付けされます。アカウントは対応するプロジェクトに追加されます。

–h homedir

新しいホームディレクトリを作成するときに使用するパス名。指定されない場合、setlabel(1) によって設定されたデフォルトのパス名が使用されます。

–g group,[group]...

ユーザーに関連付けられるグループ。指定された場合、最初のグループがプライマリグループとして割り当てられ、残りのグループが補足グループとして割り当てられます。グループのリストは、新しいアカウントを作成するときに適用され、既存のアカウントについてはグループのリストによって現在のグループを置き換えます。

–p parent_sandbox

サンドボックスは parent_sandbox の子として作成されます。新しいサンドボックスの分類は親からコピーされ、コンパートメント名は、デフォルトのコンパートメント接頭辞に一意の整数を追加することによって自動的に生成されます。

–p オプションが指定されない場合、サンドボックスは親サンドボックスとして作成されます。

–c classification

指定された分類は、新しい親サンドボックスのラベルの分類コンポーネントとして使用されます。分類が別のサンドボックスにすでに割り当てられている場合はエラーになります。

–c オプションが指定されない場合、分類名はデフォルトの分類名に一意の整数を追加することによって生成されます。

コンパートメント名はデフォルトのコンパートメント接頭辞に「All」を追加することによって生成されます。追加のコンパートメントが label_encodings(5) ファイルで定義されている場合、追加のコンパートメントがラベルに付加されます。

destroy

既存のサンドボックスを破棄します。サンドボックスに子が存在する場合、子サンドボックスは親サンドボックスを破棄する前に破棄する必要があります。これは Sandbox Management 権利プロファイルの使用を要求する特権操作です。

destroy サブコマンドは次のオプションをサポートします。

–s sandbox

破棄するサンドボックスの名前。対応するプロジェクトが存在する場合、プロジェクトが削除されます。

–u username

指定されたアカウントが存在する場合、アカウントはそのホームディレクトリとともに削除されます。

list

指定されたオプションと一致するサンドボックス名を一覧表示します。list サブコマンドは次のオプションをサポートします。

–l

各サンドボックスのラベル、ユーザー名、および UID を含む長形式を指定します。

–p parent_sandbox

指定されたサンドボックスとそのすべての子を一覧表示します。

–c

子サンドボックスを格納できる、またはその親となることができるサンドボックスを一覧表示します。

info

1 つのサンドボックスの属性を表示します。オプションが指定されない場合は、現在のサンドボックスが使用されます。info サブコマンドは次のオプションをサポートします。

–s sandbox

現在のサンドボックスの代わりに、指定されたサンドボックスが表示されます。

–e

エンコーディングファイルのパス名と、使用可能な分類名およびコンパートメント名を含む現在のラベルプロパティーのサマリーを提供します。

init

指定されたプロパティーを使用して、新しいラベルエンコーディングファイルを作成します。最小ラベル Public が自動的に含められ、バージョンは Sandbox Labels v1.0 に設定されます。init サブコマンドは次のオプションをサポートします。

–f encodings_file

新しいエンコーディングファイルが作成される場所を指定します。ファイルのプロパティーは、次のコマンドを実行して確定できます。

# cd /etc/security/tsol
# labelcfg -e <encodings_file> commit

ファイルはそれを確定する前に、/etc/security/tsol ディレクトリ内に作成されるかその場所にコピーされなければなりません。

–c classification_prefix

分類名に使用される接頭辞を指定します。1 から始まる連続する整数を追加することによって、一意の分類名が生成されます。デフォルトの接頭辞は Class です。番号付きのすべての分類よりも優先される分類には、接尾辞 All が適用されます。

–i classification_instances

使用できる分類インスタンスの最大数を指定します。

–s compartment_prefix

コンパートメント名に使用される接頭辞を指定します。1 から始まる連続する整数を追加することによって、一意のコンパートメント名が生成されます。デフォルトの接頭辞は Sandbox です。番号付きのすべてのコンパートメントよりも優先されるコンパートメントには、接尾辞 All が適用されます。

–n number_of_compartments

使用できるサンドボックスコンパートメントの最大数を指定します。

–x extra_compartments

Public を除く任意のラベルに付加できる追加のコンパートメント名を指定します。最大 10 個の –x オプションを指定できます。

verify

サンドボックスを開始または終了するためのさまざまなオプションを実行することによって、サンドボックスが正しく構成されていることを確認します。各遷移のあとにプロセス属性が一覧表示されます。サブコマンドはその後、RETURN 文字を待機してから次の遷移を続行します。

verify サブコマンドは次のオプションをサポートします。

–s sandbox

開始するサンドボックスの名前を指定します。現在のプロセスが、指定されたサンドボックスの親サンドボックス内で実行されているか、現在のプロセス認可上限が ADMIN_HIGH である必要があります。–k オプションが指定されないかぎり、現在の認可上限は、指定されたサンドボックスの認可上限に下げられます。

–k keep_compartments

新しい認可上限内で保持するコンパートメント名を指定します。複数のコンパートメントが指定される場合、コンパートメントは空白文字で区切られます。コンパートメントよりも現在の認可上限を優先する必要があります。

–t

遷移が一時的であることを指定します。RETURN を押したあと、親サンドボックスプロセス属性が復元されます。プロセスが終了する前に属性が一覧表示されます。

–u

遷移が永続的であることを指定します。RETURN を押したあと、指定されたサンドボックスのユーザー ID、プライマリグループ ID、および補助グループが現在のプロセスに設定されます。プロセスが終了する前に属性が一覧表示されます。

終了ステータス

次の終了ステータスが返されます。

0

コマンドが正常に処理されました。

1

エラーが発生しました。

2

無効なコマンド行オプションが指定された。

使用例 1 現在のサンドボックスの一覧表示 
       example$ sandboxadm list -l
	CDB1
	    username(uid):	   cdb1(15000)
	    label:		     CDB1 SandboxAll DBFcdb DBFall FScdb
	    CDB1_Sbox1
		 username(uid):	cdb1sbox1(15001)
		 label:		  CDB1 Sandbox1
	CDB4
	    username(uid):	   oracle(20002)
	    label:		    CDB4 SandboxAll DBFcdb DBFall FScdb
使用例 2 現在のラベル付けプロパティーの表示 
       example$ sandboxadm info -e
	File: /etc/security/tsol/label_encodings.sandboxing

	Classifications:
	    Public
	    CDB1 - CDB8
	    CDBall

	Compartments:
	    Sandbox1 - Sandbox4096
	    SandboxAll
	    DBFcdb
	    DBFall
	    FScdb

	Sandbox: CDB6
	    container:	CDB6_SboxAll
	    username(uid):  cdb6sbox1(10001)
	    label:	    CDB6 Sandbox1

属性

属性についての詳細は、マニュアルページの attributes(7) を参照してください。

属性タイプ
属性値
使用条件
security/sandboxing
インタフェースの安定性
確実

関連項目

sandbox(1)sandbox_create(3SANDBOX)label_encodings(5)clearance(7)labels(7)setlabel(1)

Copyright © 1993, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ