読み取り専用ファイルシステム

ディレクトリー・ツリー構造の最終地点は、稀にしか変更されないトラステッド・ファイルがそれ自体のファイルシステムに置かれ、読み取り専用としてマウントされる場所です。 これにより、事実上、その内容は通常のシステム操作では変更されません。 この手法は、トラスト・プログラムの膨大な実行可能ファイルに対してよく使用されます。

ファイルの変更が必要な場合は、さらに保護された状況 (単一ユーザー・モードやさらに保護された別のマシンなど) でファイルシステムを書き込み可能として再マウントできます。 このような更新の後は、正しい構成 (適切な DAC、MIC、MAC ラベルなど) を得るために、プログラムを使用してファイルシステムを走査することをお勧めします。

また、読み取り専用ファイルシステムでは、DAC、MIC、および MAC の情報は変更できません。 ファイルシステムを適切に構成すると、DAC 情報、MIC および MAC ラベルのいずれか (またはその両方) の変更を試みるセキュリティー侵入方式に対して保護することができます。