ACL の正式名で,オブジェクトへのアクセスの可否を判断するために参照されます。
従来の UNIX アクセス許可の拡張 (オプション) で,ユーザおよびグループごとに,読み取り,書き込み,および実行の許可を指定できます。
次の項目も参照: アクセス ACL (Access ACL), 省略時 ACL (Default ACL)
本書では,システムのセキュリティに携わっているユーザに対して「管理者」という用語を使用します。
監査サブシステムで監視して報告するイベント。イベントには,システム・イベント,アプリケーション・イベント,およびサイト定義イベントがあります。イベントは,システム上で実行するコマンド,システム・コール,ルーチン,またはプログラムで発生します。
ログイン時に作成され,すべてのプロセスに引き継がれる ID。
保護システム上でセキュリティに関係する動作を記録,調査,および確認することです。
システムの ID を証明するための証明書をエンティティがシステムに発行するプロセス。
エンティティが認証されるメカニズム。BSD,エンハンスト・セキュリティ,および Kerberos などが含まれます。
BSD UNIX システムで実行される従来のセキュリティ。BASE セキュリティは,ファイル
/etc/passwd
に存在するユーザ名およびパスワードに基づくユーザ認証からなります。BASE セキュリティは省略時の Tru64 UNIX セキュリティです。
カリフォルニア大学バークレー校のコンピュータ・システム・リサーチ・グループの UNIX ソフトウェア・リリース。Tru64 UNIX の機能の一部は BSD をベースとしています。
暗号化アルゴリズムを使って,暗号化されたテキストを平文 (復号されたテキスト) に変換する処理。
ディレクトリに関連付けられた ACL。2 種類の ACL (省略時アクセス ACL と省略時ディレクトリ ACL) で,ディレクトリ内に作成されるファイルおよびサブディレクトリに与えられる ACL が決まります。
個人,サーバ,企業,またはその他のプリンシパルの ID の認証,およびそのプリンシパルと公開鍵を結び付けるために使われる電子的なドキュメント。
メッセージの送り主またはドキュメントの署名者の ID を認証するために使われる電子的な署名。
ディレクトリ,ファイル,デバイス,およびプロセスを含む,システム・リソースへのアクセスを管理します。Tru64 UNIX は,Tru64 UNIX アクセス権および ACL (Access Control List) 使用して,DAC を実現します。
暗号化アルゴリズムを使って,平文 (暗号化されていないテキスト) を暗号化されたテキストに変換する処理。
現在のユーザ ID ですが,ユーザ自身の ID とは限りません。たとえば,ログイン ID でログインしたユーザは,別の ID に変わる可能性があります。ユーザが変更した ID は,ユーザが元のログイン ID へ切り替えるまで実効ユーザ ID となります。
エンハンスト・セキュリティ・オプションで提供される拡張属性を持つパスワード。エンハンスト・パスワードは,ファイル
prpasswd
に格納され,エンハンスト・パスワード,保護パスワード,またはシャドウ・パスワードとも呼ばれます。
BASE セキュリティで不足している点を補うオプションのセキュリティ機能。エンハンスト・セキュリティは,エンハンスト・パスワード・プロファイルから構成されています。
次の項目も参照: エンハンスト・パスワード (enhanced passwords)
認証の対象となるユーザ,プログラム,システム。
ACL の POSIX 適合 ASCII 表現であり,ユーザへの表示に使います。
次の項目も参照: IR (internal representation : 内部表現)
トラステッド・コンピュータ・システム評価基準 (TCSEC: Trusted Computer System Evaluation Criteria)。Tru64 UNIX システムのエンハンスト・セキュリティ機能は,この基準に合うように設計されています。
ホスト名およびユーザ名での識別 (パスワードではなく) に基づく非対話式の UNIX 認証方式。
TCP/IP 転送プロトコルを使って交換されるデータに対して,IP レイヤでリモート認証サービスを提供するプロトコル。
ACL ライブラリ・ルーチンで使う ACL のバイナリ表現。
次の項目も参照: ER (external representation : 外部表現)
コンピュータ・ネットワークのサービスに対する要求を認証するセキュア・メソッド。
プリンシパル間のやり取りを仲介し,秘密鍵認証の使用時に,専用のセッション・キーを作成します。
次の項目も参照: ER (external representation : 外部表現)
TCP/IP で稼動するインターネット標準の分散型のクライアント/サーバ・ディレクトリ・サービス・プロトコル。
パスワードを盗むために,login
プログラムのように見せかけたプログラム。たとえば,スプーフ・プログラムでは,使われていない端末にログイン・プロンプトを出力し,ユーザからの入力を待ちます。
ローカル・エリア・ネットワーク (LAN) の情報を共用するための分散型クライアント/サーバ・データ検索サービス。
システムの日常的保守を担当している人。これには,バックアップ,ライン・プリンタの保守,およびその他の保守タスクなどがあります。
次の項目も参照: システム管理者 (system administrator)
ユーザ,サービス,アプリケーション,またはホスト。
実行中のプロセスに割り当てられた重複しない番号。
オペレーティング・システムが制御する単位。プロセスは必ず 1 つのプログラムを実行しています。このプログラムは,現在のプログラムがシステム・コール
exec()
を呼び出したときに置き換わります。現在のプログラムが保護されている (trusted) とき,そのプロセスは保護されていると見なされます。
次の項目も参照: プログラム (program)
プロセスによって実行されるように設計,コンパイル,インストールされた実行可能ファイル内のアルゴリズム一式。プログラムは,システムのセキュリティ・ポリシを満たしているときに保護されていると見なされます。
次の項目も参照: プロセス (process)
接続中の 2 つのプリンシパル (通常,クライアントとサーバ) が,公開鍵や秘密鍵を使って互いとユーザを認証し,そこで交換されるデータを暗号化または復号する暗号化方法。
親プロセス,つまり生成元プロセスの ID。
スーパユーザ (システム管理者) のログイン名。
UNIX システムのツリー状のファイル構造の最上位ディレクトリの名前。つまり,絶対パス名の先頭です。パス名の中のルート・ディレクトリは,先頭のスラッシュ (/) で表されます。ルート・ディレクトリ自身は単独のスラッシュで表します。
基本的なファイル・システムであり,その他のファイル・システムはすべてこの上にマウントされます。ルート・ファイル・システム内には,オペレーティング・システムのファイルがあり,これらのファイルで残りのシステムを実行します。
接続中の 2 つのプリンシパル (通常,クライアントとサーバ) が,セッション鍵と呼ばれる 1 つの秘密鍵を使ってシステムとユーザを認証し,そこで交換されるデータを暗号化または復号する暗号化方法。
コマンドの使用時に交換されるデータに対して,リモート認証サービスを提供するネットワーク・コマンド一式を備えたクライアント/サーバ・アプリケーション。
セキュリティを実現するためのトラステッド・コンピューティング・ベース (TCB) によって使用されるパラメータ。セキュリティ属性には,さまざまなユーザおよびグループ ID が含まれます。
セキュリティ統合アーキテクチャは,セキュリティ・メカニズムが使われる順序を管理します。
次の項目も参照: 保証機能 (vouching)
Kerberos を使って,ftp
,
rcp
,rlogin
,rsh
,および
telnet
ネットワーク・コマンドの使用時に交換されるデータに対し,リモート認証サービスを提供するクライアント/サーバ・ソフトウェア。
アプリケーション・ソフトウェア (つまり,オペレーティング・システムではない) で作成される監査イベント。
システム管理者は,ファイル・システムの保守と修復,アカウントの作成,およびその他の管理作業を担当します。
ハードウェア,ソフトウェア,およびファームウェア一式で,これらが一体となってシステムのセキュリティ・ポリシを実現します。Tru64 UNIX のTCB には,システムのハードウェアおよびファームウェア,トラステッド Tru64 UNIX オペレーティング・システムと,セキュリティ・ポリシを実現するトラステッド・コマンドおよびユーティリティが含まれます。トラステッド Tru64 UNIX システムと併せて提供されるオペレーティング・システムおよびその他のソフトウェアは,セキュリティの要件を満たしています。
簡単に推測できるパスワードを使わないようにするために,パスワードに対して行うチェック。平凡性チェックにより,辞書にある単語,ユーザ名,およびユーザ名を少し変えた単語をパスワードとして使うのを防ぐことができます。
ユーザによって起動されたときに,ユーザのデータを盗むか,ユーザのファイルを破壊するか,またはトロイの木馬を仕掛けた人が再度ユーザのアカウントにアクセスできるようにする仕組みを作成するプログラム。ウィルスとワームは,トロイの木馬の一種です。
次の項目も参照: ウィルス (virus), ワーム (worm)
システム上の他のプログラムまたはファイルに潜入し,使用できる手段 (ディスク・ファイル,ネットワークなど) で別の同じようなコンピュータに自己複製を行うように設計されたコンピュータ・プログラム。ウィルスは,「感染」対象のプログラムまたはシステムに損害を与えたり破壊したりするように設計され,多くの場合,ウィルスのプログラマの誕生日のような,特定の日時に発症するようにプログラムされています。
次の項目も参照: トロイの木馬 (Trojan horse) , ワーム (worm)
セキュリティ・メカニズムが,先に実行されたセキュリティ・メカニズムの認証処理を信頼できるようにする技法。この機能は,セキュリティ統合アーキテクチャ (SIA) で実現されます。
システム上の他のプログラムまたはファイルに潜入し,使用できる手段 (ディスク・ファイル,ネットワークなど) で別の同じようなコンピュータに自己複製を行うように設計されたコンピュータ・プログラム。ワームは,損害を与えるようには設計されていませんが,本来の処理のために用意されているリソースを占有するので有害です。
次の項目も参照: トロイの木馬 (Trojan horse) , ウィルス (virus)