sandboxadm - Sandbox administration
/usr/bin/sandboxadm
sandboxadm create -s sandbox -u username [[-c classification] | [-p parent_sandbox]] [-g group,[group]...] [-h homedir]
sandboxadm destroy -s sandbox [-u]
sandboxadm list [-l] [[-p parent_sandbox | -c]
sandboxadm info [-s sandbox] [-e]
sandboxadm verify -s svcname [-t | -u] [-k keep_compartments]
sandboxadm init [-f encodings_file] [-c classification_prefix] [-i classification_instances] [-s compartment_prefix] [-n number_of_compartments] [-x extra_compartments]
sandboxadm コマンドは、セキュリティー隔離およびリソース管理を提供するサンドボックスを管理します。
サポートされているサブコマンドは次のとおりです。
新しいサンドボックスを作成します。これは Sandbox Management 権利プロファイルの使用を要求する特権操作です。create サブコマンドは次のオプションをサポートします。
新しいサンドボックスの名前。名前は大文字と小文字が区別され、一意である必要があります。サンドボックス名は、プロジェクトを指定するためにも使用されます。その名前のプロジェクトが存在しない場合、新しいプロジェクトが作成されます。
サンドボックスに関連付けられるアカウント。ユーザー名によって指定されるアカウントが存在しない場合は、新しいホームディレクトリとともにアカウントが作成され、ユーザーの認可上限はサンドボックスのラベルに設定されます。
アカウントがすでに存在し、明示的な認可上限がない場合、そのユーザーの認可上限はサンドボックスの認可上限に設定されます。それ以外の場合、ユーザーの認可上限は、既存の認可上限とサンドボックスのラベルのうちの小さい方の上限に設定されます。
サンドボックスについての親が指定された場合、アカウントのホームディレクトリはサンドボックスのラベルを使用して再帰的にラベル付けされます。アカウントは対応するプロジェクトに追加されます。
新しいホームディレクトリを作成するときに使用するパス名。指定されない場合、setlabel(1) によって設定されたデフォルトのパス名が使用されます。
ユーザーに関連付けられるグループ。指定された場合、最初のグループがプライマリグループとして割り当てられ、残りのグループが補足グループとして割り当てられます。グループのリストは、新しいアカウントを作成するときに適用され、既存のアカウントについてはグループのリストによって現在のグループを置き換えます。
サンドボックスは parent_sandbox の子として作成されます。新しいサンドボックスの分類は親からコピーされ、コンパートメント名は、デフォルトのコンパートメント接頭辞に一意の整数を追加することによって自動的に生成されます。
–p オプションが指定されない場合、サンドボックスは親サンドボックスとして作成されます。
指定された分類は、新しい親サンドボックスのラベルの分類コンポーネントとして使用されます。分類が別のサンドボックスにすでに割り当てられている場合はエラーになります。
–c オプションが指定されない場合、分類名はデフォルトの分類名に一意の整数を追加することによって生成されます。
コンパートメント名はデフォルトのコンパートメント接頭辞に「All」を追加することによって生成されます。追加のコンパートメントが label_encodings(5) ファイルで定義されている場合、追加のコンパートメントがラベルに付加されます。
既存のサンドボックスを破棄します。サンドボックスに子が存在する場合、子サンドボックスは親サンドボックスを破棄する前に破棄する必要があります。これは Sandbox Management 権利プロファイルの使用を要求する特権操作です。
destroy サブコマンドは次のオプションをサポートします。
破棄するサンドボックスの名前。対応するプロジェクトが存在する場合、プロジェクトが削除されます。
指定されたアカウントが存在する場合、アカウントはそのホームディレクトリとともに削除されます。
指定されたオプションと一致するサンドボックス名を一覧表示します。list サブコマンドは次のオプションをサポートします。
各サンドボックスのラベル、ユーザー名、および UID を含む長形式を指定します。
指定されたサンドボックスとそのすべての子を一覧表示します。
子サンドボックスを格納できる、またはその親となることができるサンドボックスを一覧表示します。
1 つのサンドボックスの属性を表示します。オプションが指定されない場合は、現在のサンドボックスが使用されます。info サブコマンドは次のオプションをサポートします。
現在のサンドボックスの代わりに、指定されたサンドボックスが表示されます。
エンコーディングファイルのパス名と、使用可能な分類名およびコンパートメント名を含む現在のラベルプロパティーのサマリーを提供します。
指定されたプロパティーを使用して、新しいラベルエンコーディングファイルを作成します。最小ラベル Public が自動的に含められ、バージョンは Sandbox Labels v1.0 に設定されます。init サブコマンドは次のオプションをサポートします。
新しいエンコーディングファイルが作成される場所を指定します。ファイルのプロパティーは、次のコマンドを実行して確定できます。
# cd /etc/security/tsol # labelcfg -e encodings_file commit
ファイルはそれを確定する前に、/etc/security/tsol ディレクトリ内に作成されるかその場所にコピーされなければなりません。
分類名に使用される接頭辞を指定します。1 から始まる連続する整数を追加することによって、一意の分類名が生成されます。デフォルトの接頭辞は Class です。番号付きのすべての分類よりも優先される分類には、接尾辞 All が適用されます。
使用できる分類インスタンスの最大数を指定します。
コンパートメント名に使用される接頭辞を指定します。1 から始まる連続する整数を追加することによって、一意のコンパートメント名が生成されます。デフォルトの接頭辞は Sandbox です。番号付きのすべてのコンパートメントよりも優先されるコンパートメントには、接尾辞 All が適用されます。
使用できるサンドボックスコンパートメントの最大数を指定します。
Public を除く任意のラベルに付加できる追加のコンパートメント名を指定します。最大 10 個の –x オプションを指定できます。
サンドボックスを開始または終了するためのさまざまなオプションを実行することによって、サンドボックスが正しく構成されていることを確認します。各遷移のあとにプロセス属性が一覧表示されます。サブコマンドはその後、RETURN 文字を待機してから次の遷移を続行します。
verify サブコマンドは次のオプションをサポートします。
開始するサンドボックスの名前を指定します。現在のプロセスが、指定されたサンドボックスの親サンドボックス内で実行されているか、現在のプロセス認可上限が ADMIN_HIGH である必要があります。–k オプションが指定されないかぎり、現在の認可上限は、指定されたサンドボックスの認可上限に下げられます。
新しい認可上限内で保持するコンパートメント名を指定します。複数のコンパートメントが指定される場合、コンパートメントは空白文字で区切られます。コンパートメントよりも現在の認可上限を優先する必要があります。
遷移が一時的であることを指定します。RETURN を押したあと、親サンドボックスプロセス属性が復元されます。プロセスが終了する前に属性が一覧表示されます。
遷移が永続的であることを指定します。RETURN を押したあと、指定されたサンドボックスのユーザー ID、プライマリグループ ID、および補助グループが現在のプロセスに設定されます。プロセスが終了する前に属性が一覧表示されます。
次の終了ステータスが返されます。
コマンドが正常に処理されました。
エラーが発生しました。
無効なコマンド行オプションが指定された。
example$ sandboxadm list -l CDB1 username(uid): cdb1(15000) label: CDB1 SandboxAll DBFcdb DBFall FScdb CDB1_Sbox1 username(uid): cdb1sbox1(15001) label: CDB1 Sandbox1 CDB4 username(uid): oracle(20002) label: CDB4 SandboxAll DBFcdb DBFall FScdb使用例 2 現在のラベル付けプロパティーの表示
example$ sandboxadm info -e File: /etc/security/tsol/label_encodings.sandboxing Classifications: Public CDB1 - CDB8 CDBall Compartments: Sandbox1 - Sandbox4096 SandboxAll DBFcdb DBFall FScdb Sandbox: CDB6 container: CDB6_SboxAll username(uid): cdb6sbox1(10001) label: CDB6 Sandbox1
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
sandbox(1)、sandbox_create(3SANDBOX)、label_encodings(5)、clearance(7)、labels(7)、setlabel(1)
The sandboxadm command was added in Solaris 11.4.0.