FreeBSD 日本語マニュアル検索 (jman/japropos/jwhatis)

日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索がコンソールからできるようになります。

4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、プライベート版 (小金丸が編集してまとめたもの) ですが、より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)

13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。

検索コマンド： man apropos whatis
コマンド／キーワード：
日本語マニュアル RELEASE :
セクション：

Table of Contents
名称 | 書式 | 解説 | 実装に関する注 | 関連項目 | 歴史 | 作者 | バグ

MAC_MLS(4)         FreeBSD カーネルインタフェースマニュアル         MAC_MLS(4)

名称
     mac_mls -- マルチレベルセキュリティ機密性ポリシ

書式
     利用者のカーネルに MLS をコンパイルするには、次の行をカーネル設定ファイル
     に入れます:

           options MAC
           options MAC_MLS

     代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時に MLS モ
     ジュールをロードします:

           options MAC

     と loader.conf(5) 中に:

           mac_mls_load="YES"

解説
     mac_mls ポリシモジュールはマルチレベルセキュリティ、または、厳格な情報フ
     ローポリシを用いる機密性に基づくサブジェクトとオブジェクトの間のアクセス
     を制御する、MLS モデルを実装します。システムの各サブジェクトとオブジェク
     トには、それに関連している MLS ラベルがあります。各サブジェクトの MLS ラ
     ベルはクリアランス (認可) レベルに関する情報を含み、各オブジェクトの MLS
     ラベルは分類に関する情報を含んでいます。

     MLS では、すべてのシステムのサブジェクトとオブジェクトは機密性ラベルに割
     り当てられ、感度レベルと 0 以上のコンパートメント (区画) で構成されていま
     す。全体的に、これらのラベル要素は、順序を記述している優性演算子に基づい
     た秘密性保護と共に、すべてのラベルが半順序に置かれるのを可能にします。感
     度レベルは、より高い値がより高い感度レベルを反映している状態で、0 と
     65535 の間の値として表現されます。コンパートメント (区画) フィールド 1 か
     ら 256 まで番号が付けれられた、最大 256 の構成要素のセットとして表現され
     ます。完全なラベルは感度とコンパートメント (区画) 要素の両方で構成されま
     す。

     通常のラベルで、優性はより高いか等しいアクティブな感度レベルを持っている
     か、または、少なくともそれが比較されているラベルのようにすべての同じコン
     パートメント (区画) を持っている、ラベルとして定義されます。ラベル比較に
     関しては、``lower'' はそれが比較されているラベルによって優性であると定義
     され、``higher'' はそれが比較されているラベルを優性であると定義され、そし
     て ``equal'' はお互いに優性要求を満たすことができる両方のラベルであると定
     義されます。

     3 つの特別なラベル値が存在しています:

           ラベル       比較
           mls/low      他のすべてのラベルによって優性となる
           mls/equal    他のすべてのラベルと等しい
           mls/high     他のすべてのラベルが優性である

     ``mls/equal'' ラベルは MLS セキュリティポリシの実施が望まれていないサブ
     ジェクトとオブジェクトに適用されます。

     MLS モデルは次の基本的な制限を実施します:

     •   クリアランス (認可) レベルが観測を試みているオブジェクトのクリアラン
         スレベルより低いなら、サブジェクは別のサブジェクのプロセスを観測しな
         いかもしれません。

     •   サブジェクトは、適切なクリアランス (認可) なしでオブジェクトを読み込
         まない、書き込まない、またはそうでなければ、観測しないかもしれません
         (例えば、サブジェクトは、分類ラベルがそれ自身のクリアランスラベルを優
         性するオブジェクトを観測しないかもしれません)。

     •   サブジェクトはそれ自身のクリアランスレベルより低い分類レベルでオブ
         ジェクトに書き込まないかもしれません。

     •   まるで MLS 保護が適切な位置にないかのようにクリアランスレベルがオブ
         ジェクトの分類レベルと等しいなら、サブジェクトは、オブジェクトを読み
         込んで、書き込むかもしれません。

     これらの規則は、より低いクリアランスのサブジェクトが分類された情報の秘密
     性を保護するためにクリアランスレベルを超えて分類されたアクセス情報を獲得
     すること、より高いクリアランスのサブジェクトが偶然または悪意がある情報の
     漏えいを防ぐためにより低い分類のオブジェクトに書き込むことから、そして、
     より低いクリアランスのサブジェクトが全体でより高いクリアランスのサブジェ
     クトを観測することから、防ぎます。伝統的な信頼のあるオペレーティングシス
     テムでは、MLS 秘密性モデルは Trusted Code Base (TCB) を保護するために、
     Biba ビバ整合性モデル (mac_biba(4)) と合わせて使用されます。

   ラベル形式
     ほとんどすべてのシステムオブジェクトは、効果、アクティブラベル要素、オブ
     ジェクトの分類の反映、またはオブジェクトに含まれたデータの分類でタグ付け
     されます。一般的に、オブジェクトラベルは次の形式で表現されます:

           mls/grade:compartments

     例えば:

           mls/10:2+3+6
           mls/low

     サブジェクトラベルは次の 3 つのラベル要素から成ります: 効果的 (アクティ
     ブ) ラベル、さらに一連の利用可能なラベル。この範囲は 2 つの規則正しい MLS
     ラベル要素を使用して表現され、プロセスで設定されるとき、アクティブラベル
     を範囲のローエンドへの大きいか等しい整合性、および範囲のハイエンドへのよ
     り少ないか等しい整合性の任意のラベルに変更するプロセスを許可します。一般
     的に、サブジェクトラベルは次の形式で表現されます:

           mls/effectivegrade:effectivecompartments(lograde:locompartment_s
           higrade:hicompartments)

     例えば:

           mls/10:2+3+6(5:2+3-20:2+3+4+5+6)
           mls/high(low-high)

     有効範囲ラベルはそれらの要素に関する次の要求を満たさなければなりません:

           rangehigh >= effective >= rangelow

     範囲がある 1 つのオブジェクトのクラスが現在存在して、ネットワークは接続し
     ます。(訳注: 意味不明。) ネットワークインタフェースの場合は、有効なラベル
     要素はインタフェース上で受信されるパケットのデフォルトラベルを参照し、範
     囲はインタフェース上で送信されるパケットの受け付け可能なラベルの範囲を表
     します。

   実行時設定
     次の sysctl(8) MIB はこの MAC ポリシの実施を微調整するために利用可能で
     す。

     security.mac.mls.enabled     MLS 秘密性ポリシの実施を有効にします。(デ
                                  フォルト: 1)。

     security.mac.mls.ptys_equal  作成するときに ``mls/equal'' として pty(4)s
                                  をラベル付けします。(デフォルト: 0)。

     security.mac.mls.revocation_enabled
                                  ラベルがサブジェクトより感度がよいレベルに変
                                  更されるなら、オブジェクトへのアクセスを無効
                                  にします。(デフォルト: 0)。

実装に関する注
     現在 mac_mls ポリシはインタフェース MLS ラベルをネットワークで変更するた
     めにスーパユーザ状態 (suser(9)) を当てにしています。結局のところ、これは
     なくなりますが、現在障害となっており、スーパユーザが MLS 保護を迂回させる
     ことを許可します。

関連項目
     mac(4), mac_biba(4), mac_bsdextended(4), mac_ifoff(4), mac_lomac(4),
     mac_none(4), mac_partition(4), mac_portacl(4), mac_seeotheruids(4),
     mac_test(4), maclabel(7), mac(9)

歴史
     mac_mls ポリシモジュールは、FreeBSD 5.0 ではじめて登場し、TrustedBSD プロ
     ジェクトによって開発されました。

作者
     このソフトウェアは、DARPA CHATS 研究プログラムの一環として、DARPA/SPAWAR
     契約 N66001-01-C-8035 (``CBOSS'') の下で Network Associates Laboratories,
     the Security Research Division of Network Associates Inc. によって
     FreeBSD プロジェクトに寄贈されました。

バグ
     MAC フレームワークデザインはルートユーザの封じ込めをサポートすることを目
     的としていますが、現在すべての攻撃チャネルがエントリポイントチェックで保
     護されるわけではありません。悪意がある特権ユーザから防御するために、分離
     して MAC フレームポリシをそのようなものとして信頼するべきではありません。

FreeBSD 13.2                     July 25, 2015                    FreeBSD 13.2

Table of Contents

FreeBSD マニュアル検索