Trusted Extensions でのセキュリティー計画

この節では、Trusted Extensions ソフトウェアの有効化と構成の前に必要な計画について概説します。

• 「Trusted Extensions について」

• 「サイトのセキュリティーポリシーについて」

• 「Trusted Extensions の管理ストラテジの作成」

• 「ラベルストラテジの作成」

• 「システムのハードウェアと Trusted Extensions の容量の計画」

• 「トラステッドネットワークの計画」

• 「Trusted Extensions でのゾーン計画」

• 「マルチレベルアクセスの計画」

• 「Trusted Extensions での LDAP ネームサービスの計画」

• 「Trusted Extensions での監査の計画」

• 「Trusted Extensions でのユーザーセキュリティーの計画」

• 「Trusted Extensions の構成ストラテジの作成」

• 「Trusted Extensions を有効にする前に行なう情報の収集」

• 「Trusted Extensions の有効化前に行うシステムのバックアップ」

Trusted Extensions の構成タスクのチェックリストについては、付録 C Trusted Extensions の構成チェックリストを参照してください。サイトのローカライズについては、「英語以外のロケールで Trusted Extensions を使用するお客様」を参照してください。評価された構成の実行については、「サイトのセキュリティーポリシーについて」を参照してください。

Trusted Extensions について

Solaris Trusted Extensions の有効化および構成は、実行可能ファイルの読み込み、サイトのデータの指定、構成変数の設定などのタスクにとどまりません。高度な予備知識が必要です。Trusted Extensions ソフトウェアは、次の概念に基づいたラベル付き環境を実現します。

• ほとんどの UNIX 環境でスーパーユーザーに割り当てられる機能を、個別の管理役割で実行できます。

• UNIX のアクセス権のほかに、データへのアクセスが特別なセキュリティータグによって制御されます。このようなタグを「ラベル」と言います。ラベルはユーザー、プロセス、およびデータファイルやディレクトリなどのオブジェクトに割り当てられます。

• 特定のユーザーおよびアプリケーションがセキュリティーポリシーを上書きできるようにできます。

サイトのセキュリティーポリシーについて

Trusted Extensions では、サイトのセキュリティーポリシーを Solaris OS と効率的に統合できます。そのためには、ポリシーの範囲、およびそのポリシーに対応する Trusted Extensions ソフトウェアの機能について、適切に理解する必要があります。適切に計画された構成では、サイトのセキュリティーポリシーの一貫性とシステムにおけるユーザーの作業の利便性とのバランスを取るようにしてください。

Trusted Extensions は、デフォルトで、次の保護プロファイルに対して情報技術 セキュリティー評価のための共通基準 (Common Criteria for Information Technology Security Evaluation) (ISO/IEC 15408) の認証レベル EAL4 に準拠するように構成されます。

• ラベル付きセキュリティー保護プロファイル

• 制御アクセス保護プロファイル

• 役割ベースアクセス制御保護プロファイル

これらの評価レベルに適合するために、LDAP をネームサービスとして設定する必要があります。次のいずれかを行なった場合、構成が評価に準拠しなくなる可能性があります。

• /etc/system ファイルのカーネルスイッチの設定の変更。

• 監査またはデバイス割り当てのオフ。

• 次の構成ファイルのデフォルトエントリの変更。

  • /usr/openwin/server/etc/*

  • /usr/dt/app-defaults/C/Dt

  • /usr/dt/app-defaults/C/Dtwm

  • /usr/dt/app-defaults/C/SelectionManager

  • /usr/dt/bin/Xsession

  • /usr/dt/bin/Xtsolsession

  • /usr/dt/bin/Xtsolusersession

  • /usr/dt/config/sel_config

  • /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy

詳細は、Common Criteria の Web サイトを参照してください。

Trusted Extensions の管理ストラテジの作成

Trusted Extensions を有効化する責任は、root ユーザーまたはシステム管理者役割にあります。役割を作成すると、複数の機能の領域で管理担当を分割することができます。

• セキュリティー管理者は、機密ラベルの設定と割り当て、監査の設定、パスワードポリシーの設定などのセキュリティー関連のタスクを担当します。

• システム管理者は、セキュリティー以外の設定、保守、および全般的な管理を担当します。

• 主管理者は、セキュリティー管理者の権利プロファイルの作成、およびセキュリティー管理者やシステム管理者が十分な特権を持たない問題の修正を担当します。

• さらに制限を持つ役割を設定することもできます。たとえば、あるオペレータがファイルのバックアップを担当する可能性もあります。

管理ストラテジの一環として、次の事項を決定する必要があります。

• どのユーザーがどの管理タスクを実行するか

• 管理者以外のどのユーザーがトラステッドアプリケーションを実行できるか、すなわち、必要なときにどのユーザーがセキュリティーポリシーを上書きできるか

• どのユーザーがデータのどのグループにアクセスできるか

ラベルストラテジの作成

ラベルを計画するには、機密ラベルの階層を定め、システム上の情報を分類する必要があります。ラベルエンコーディングファイルには、サイトについてのこの種の情報が含まれます。Trusted Extensions インストールメディアで提供されている label_encodings ファイルのいずれかを使用できます。あるいは、その提供ファイルのいずれかを変更したり、サイト固有の label_encodings ファイルを新たに作成したりできます。このファイルには、Sun 固有のローカルな拡張機能、少なくとも COLOR NAMES セクションを組み込んでください。

---

注意 –

label_encodings ファイルを提供する場合は、Trusted Extensions サービスを有効化してシステムをリブートする前に、このファイルの最終版を準備しておく必要があります。このファイルはリムーバブルメディアに置きます。

---

ラベルの計画には、そのラベル構成の計画も含まれます。Trusted Extensions サービスを有効化したあと、システムが 1 つのラベルでのみ実行できるか、または複数のラベルで実行できるかを決定する必要があります。管理を行わないすべてのユーザーが同じセキュリティーラベルで操作できる場合には、単一ラベルシステムを選択します。

また、ラベルを表示するかどうか、およびどのラベル名形式を表示するかも設定できます。詳細は、『Solaris Trusted Extensions ラベルの管理』を参照してください。『コンパートメントモードワークステーションのラベル作成: エンコード形式』も参照してください。

英語以外のロケールで Trusted Extensions を使用するお客様

英語以外のロケールを使用するお客様が label_encodings ファイルをローカライズする場合は、ラベル名のみをローカライズしてください。管理ラベル名の ADMIN_HIGH および ADMIN_LOW をローカライズしてはいけません。いずれのベンダー製であれ、接続するラベル付きホストの名前はすべて、label_encodings ファイル内のラベル名と一致する必要があります。

Trusted Extensions でサポートされるロケールは Solaris OS より少ないです。Trusted Extensions でサポートされないロケールで作業する場合、ラベルに関するエラーメッセージなど、Trusted Extensions に固有のテキストは、そのロケールに翻訳されません。Solaris ソフトウェアは、使用中のロケールに翻訳されたまま、変化することはありません。

システムのハードウェアと Trusted Extensions の容量の計画

システムハードウェアには、システムそのものとそれに接続されるデバイスが含まれます。接続されるデバイスには、テープドライブ、マイクロフォン、CD-ROM ドライブ、およびディスクパックが含まれます。ハードウェアの容量には、システムメモリー、ネットワークインタフェース、およびディスク容量があります。

• Solaris リリースをインストールする場合、『Solaris 10 5/09 Installation Guide: Basic Installations』の「System Requirements and Recommendations」の推奨事項に従ってください。そこに示されるほかに、Trusted Extensions ではさらに追加される要件があります。

  次のシステムでは、推奨される最小容量よりも多くのメモリーが必要です。

  • 必要な管理 GUI である Solaris 管理コンソール を実行するシステム

  • 複数の機密ラベルで実行されるシステム

  • 管理役割になれるユーザーが使用するシステム

• 次のシステムではより多くのディスク容量が必要です。

  • 複数のラベルでファイルを格納するシステム

  • ユーザーが管理役割になれるシステム

トラステッドネットワークの計画

ネットワークハードウェアの計画の参考として、『System Administration Guide: IP Services』の第 2 章「Planning Your TCP/IP Network (Tasks)」を参照してください。

ほかのクライアントサーバーネットワークの場合と同様に、サーバーまたはクライアントという機能によってホストを区別し、それぞれ適切にソフトウェアを設定する必要があります。この計画の参考として、『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』を参照してください。

Trusted Extensions ソフトウェアは、ラベル付きホストとラベルなしホストの 2 種類を識別します。どちらの種類のホストにも、表 1–1 に示すデフォルトのセキュリティーテンプレートがあります。

表 1–1 Trusted Extensions のデフォルトのホストテンプレート

ホストの種類	テンプレート名	目的
unlabeled	admin_low	初期起動時、大域ゾーンをラベル付けします。  初期起動後、ラベルなしパケットを送信するホストを特定します。
cipso	cipso	CIPSO パケットを送信するホストまたはネットワークを特定します。CIPSO パケットはラベル付けされます。

ネットワークにほかのネットワークによる到達性がある場合、アクセス可能なドメインおよびホストを指定する必要があります。また、どの Trusted Extensions のホストが、ゲートウェイとしての機能を果たすかも特定する必要があります。ゲートウェイ用のラベルの認可範囲と、ほかのホストのデータを表示できる機密ラベルを、指定する必要があります。

smtnrhtp(1M) のマニュアルページには、各種類のホストの詳細な説明と例があります。

Trusted Extensions でのゾーン計画

Trusted Extensions ソフトウェアは、Solaris OS の大域ゾーンに追加されます。そのあとで、ラベル付きの非大域ゾーンを設定します。重複しないすべてのラベルに対してそれぞれ 1 つのラベル付きゾーンを作成できますが、すべてのラベルに対してゾーンを作成する必要はありません。

ゾーン構成の一部がネットワークを構成しています。大域ゾーンおよびネットワーク上のほかのゾーンと通信するためには、ラベル付きゾーンを構成します。

• デスクトップディスプレイを実行する X サーバーは、大域ゾーンからのみ利用できます。Solaris 10 10/08 リリースから、ループバックインタフェース lo0 を使用して大域ゾーンと通信できるようになりました。そのため、デスクトップディスプレイは、lo0 経由で非大域ゾーンから利用できます。

• デフォルトでは、非大域ゾーンは大域ゾーンを使用してネットワークに到達します。Solaris 10 10/08 リリースから、各非大域ゾーンに、大域ゾーンを使用しない固有のデフォルトルートを構成できます。

Trusted Extensions ゾーンと Solaris ゾーン

ラベル付きゾーンは、通常の Solaris のゾーンとは異なります。ラベル付きゾーンは、主にデータを分けるために使用されます。Trusted Extensions では、一般ユーザーはラベル付きゾーンに遠隔からログインすることはできません。ラベル付きゾーンに対する唯一の対話型インタフェースは、ゾーンコンソールにあります。root のみがゾーンコンソールにアクセスできます。

Trusted Extensions でのゾーン作成

ラベル付きゾーンを作成するには、Solaris OS 全体をコピーし、すべてのゾーンで Solaris OS のサービスを起動します。この手順は時間がかかります。1 つのゾーンを作成して、そのゾーンをコピーするかゾーンの内容のクローンを作成すると、それほど時間がかかりません。次の表は、Trusted Extensions でゾーンを作成するオプションを示します。

ゾーンの作成方法	必要な作業	この方法の特色
ラベル付きの各ゾーンを最初から作成します。	ラベル付きの各ゾーンを設定、初期化、インストール、カスタマイズ、および起動します。	この方法はサポートされています。1 つまたは 2 つの追加ゾーンを作成する場合に便利です。ゾーンをアップグレードできます。 この方法は時間がかかります。
最初のラベル付きのゾーンのコピーから追加のラベル付きゾーンを作成します。	1 つのゾーンを設定、初期化、インストール、およびカスタマイズします。このゾーンを追加のラベル付きゾーンのテンプレートとして使用します。	この方法はサポートされています。最初からゾーンを作成する場合ほど時間がかかりません。ゾーンをアップグレードできます。ゾーンに問題がある場合に Sun のサポートを必要とする場合は、このゾーンのコピー方法を使用します。 この方法は UFS を使用します。UFS には、Solaris ZFS で提供される追加のゾーンの切り離し機能はありません。
最初のラベル付きゾーンの ZFS スナップショットから追加のラベル付きゾーンを作成します。	Solaris のインストール時に確保したパーティションから ZFS プールを設定します。  1 つのゾーンを設定、初期化、インストール、およびカスタマイズします。このゾーンを ZFS スナップショットとして、追加のラベル付きゾーンに対して使用します。	この方法では Solaris ZFS を使用しますが、これがもっとも時間のかからない方法です。この方法は、すべてのゾーンをそれぞれファイルシステムにするため、UFS よりも高い分離性を提供します。ZFS では、はるかに少ないディスク容量を使用します。 Trusted Extensions をテストし、ゾーンをアップグレードではなく再インストールできる場合に適している方法です。システムを再インストールしてすばやく使用可能な状態にできるので、コンテンツが揮発性ではないシステムでは、この方法が便利です。 この方法はサポートされていません。この方法で作成されるゾーンは、Solaris OS の最新のバージョンがリリースされるときにアップグレードできません。

Solaris ゾーンは、パッケージのインストールおよびパッチの適用に影響します。詳細は、次のマニュアルページを参照してください。

• 『System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones』の第 25 章「About Packages and Patches on a Solaris System With Zones Installed (Overview)」

• Solaris のゾーンとコンテナについてのよく寄せられる質問 (FAQ)

マルチレベルアクセスの計画

通常、印刷および NFS は、マルチレベルサービスとして設定されます。マルチレベルサービスにアクセスするには、適切に構成されたシステムで、すべてのゾーンが 1 つ以上のネットワークアドレスにアクセスできなければなりません。次の構成においてマルチレベルサービスが可能です。

• Solaris OS と同様に、大域ゾーンを含むすべてのゾーンに対してそれぞれの IP アドレスが割り当てられている。ゾーンごとに別々のネットワーク情報カード (NIC) を割り当てれば、この構成がさらに改善される。このような構成は、各 NIC に関連付けられている単一ラベルのネットワークを物理的に分離するために使用される。

• all-zones の 1 つのアドレスが割り当てられている。1 つ以上のゾーンがゾーン固有のアドレスを持つことができる。

次の 2 つの条件に合うシステムはマルチレベルサービスを行えません。

• 1 つの IP アドレスが割り当てられ、大域ゾーンとラベル付きゾーンが共有する。

• ゾーン固有のアドレスが 1 つも割り当てられていない。

ラベル付きゾーンのユーザーがローカルのマルチレベルプリンタにアクセスすることを想定しておらず、ホームディレクトリの NFS エクスポートも必要ない場合、Trusted Extensions が設定されたシステムに対して 1 つの IP アドレスを割り当てることができます。このようなシステムでは、マルチレベル印刷はサポートされず、ホームディレクトリを共有できません。この構成は、主としてラップトップコンピュータで使用します。

Trusted Extensions での LDAP ネームサービスの計画

ラベル付きシステムのネットワークの構成を計画していない場合、この節は省略できます。

システムのネットワーク上で Trusted Extensions を実行する予定の場合は、LDAP をネームサービスとして使用します。Trusted Extensions で、システムのネットワークを構成する場合、データ入力された Sun Java System Directory Server (LDAP サーバー) が必要です。サイトに既存の LDAP サーバーがある場合、Trusted Extensions データベースをそのサーバーに転送できます。そのサーバーにアクセスするには、Trusted Extensions システムに LDAP プロキシを設定します。

サイトに既存の LDAP サーバーがない場合、Trusted Extensions ソフトウェアを実行するシステムで LDAP サーバーを作成するようにします。手順については、第 5 章Trusted Extensions のための LDAP の構成 (手順)を参照してください。

Trusted Extensions での監査の計画

デフォルトでは、Trusted Extensions がインストールされるときに監査がオンに設定されます。したがって、デフォルトでは root ログインおよび root ログアウトが監査されます。システムを構成しようとするユーザーを監査するために、構成プロセスの最初の段階で役割を作成できます。手順については、「Trusted Extensions での役割とユーザーの作成」を参照してください。

Trusted Extensions での監査の計画は、Solaris OS の場合と同じです。詳細は、『System Administration Guide: Security Services』のパート VII「OpenSolaris Auditing」を参照してください。Trusted Extensions は、クラス、イベント、および監査トークンを追加しますが、監査の管理方法は変更されません。監査に対する Trusted Extensions による追加については、『Oracle Solaris Trusted Extensions 管理の手順』の第 18 章「Trusted Extensions での監査 (概要)」を参照してください。

Trusted Extensions でのユーザーセキュリティーの計画

Trusted Extensions ソフトウェアでは、ユーザーに対して妥当なセキュリティーデフォルト設定を提供しています。このようなセキュリティーデフォルト設定を表 1–2 に示します。2 つの値が示されている場合、最初の値がデフォルト値です。セキュリティー管理者は、サイトのセキュリティーポリシーに合わせてデフォルト値を変更できます。セキュリティー管理者がデフォルト設定を行なったあと、システム管理者がすべてのユーザーを作成できます。それらのユーザーは設定されたデフォルト値を継承します。このようなデフォルト設定のキーワードや値については、label_encodings(4) および policy.conf(4) のマニュアルページを参照してください。

表 1–2 ユーザーアカウントに関する Trusted Extensions のセキュリティーデフォルト設定

ファイル名	キーワード	値
/etc/security/policy.conf	IDLECMD	lock | logout
	IDLETIME	30
	CRYPT_ALGORITHMS_ALLOW	1,2a,md5,5,6
	CRYPT_DEFAULT	_unix_
	LOCK_AFTER_RETRIES	no | yes
	PRIV_DEFAULT	basic
	PRIV_LIMIT	all
	AUTHS_GRANTED	solaris.device.cdrw
	PROFS_GRANTED	Basic Solaris User
/etc/security/tsol/label_encodings の LOCAL DEFINITIONS セクション	Default User Clearance	CNF NEED TO KNOW
	Default User Sensitivity Label	PUBLIC

システム管理者は、すべてのユーザーに適切なシステムデフォルト値を設定するための標準ユーザーテンプレートを作成できます。たとえば、デフォルトでは各ユーザーの初期シェルは Bourne シェルです。システム管理者は、各ユーザーに対して C シェルを設定したテンプレートを作成できます。詳細は、Solaris 管理コンソール のオンラインヘルプで「ユーザーアカウント」を参照してください。

Trusted Extensions の構成ストラテジの作成

root ユーザーが Trusted Extensions ソフトウェアを構成できるようにするストラテジは、安全ではありません。次に、もっとも安全な構成ストラテジから順に示します。

• 2 人のチームでソフトウェアを構成します。構成プロセスは監査されます。

  ソフトウェアを有効化するとき、2 人でコンピュータに向かいます。構成プロセスの早い段階で、チームはローカルユーザーおよび役割を作成します。チームは、役割によって実行されるイベントを監査するための監査も設定します。役割がユーザーに割り当てられ、コンピュータが再起動されたあと、役割によるタスク区分をソフトウェアが実施します。監査証跡が構成プロセスの記録を提供します。安全な構成プロセスの図については、図 1–1 を参照してください。

  ---

  注 –

  サイトセキュリティーで責務分離が必要な場合は、ユーザーや役割を作成する前に、信頼できる管理者が、「責務分離を実施する権利プロファイルを作成する」を完了します。このカスタマイズされた設定では、1 つの役割が、ユーザーのセキュリティー属性を含むセキュリティーを管理します。ほかの役割は、システムおよびユーザーのセキュリティー以外の属性を管理します。

  ---

• 1 人が適切な役割になり、ソフトウェアを有効化および構成します。構成プロセスは監査されます。

  構成プロセスの早い段階で、root ユーザーがローカルユーザーおよび役割を作成します。同じユーザーが、役割によって実行されるイベントをチェックするための監査も設定します。役割がローカルユーザーに割り当てられ、コンピュータが再起動されると、役割によるタスク区分をソフトウェアが実施します。監査証跡が構成プロセスの記録を提供します。

• 1 人が適切な役割になり、ソフトウェアを有効化および構成します。構成プロセスは監査されません。

  このストラテジでは、構成プロセスは記録されません。

• root ユーザーがソフトウェアを有効化および構成します。構成プロセスは監査されます。

  チームは、構成時に root で実行されるすべてのイベントをチェックするための監査を設定します。このストラテジでは、監査するイベントを、そのチームが決定しなければなりません。監査証跡には root として操作するユーザーの名前は含まれません。

• root ユーザーがソフトウェアを有効化および構成します。

役割によるタスク区分を次の図に示します。セキュリティー管理者は、特に、監査の設定、ファイルシステムの保護、デバイスポリシーの設定、実行権を必要とするプログラムの決定、およびユーザーの保護を担当します。システム管理者は、特に、ファイルシステムの共有とマウント、ソフトウェアパッケージのインストール、およびユーザーの作成を担当します。

図 1–1 Trusted Extensions システムの管理: 役割によるタスク区分

Trusted Extensions を有効にする前に行なう情報の収集

Solaris OS を構成する場合と同様に、Trusted Extensions を構成する前に、システム、ユーザー、ネットワーク、およびラベルに関する情報を収集します。詳細は、「Trusted Extensions の有効化前にシステム情報を収集する」を参照してください。

Trusted Extensions の有効化前に行うシステムのバックアップ

保存しなければならないファイルがシステムにある場合は、Trusted Extensions ソフトウェアを有効化する前にバックアップを実行します。ファイルをもっとも安全にバックアップする方法は、レベル 0 ダンプです。適切なバックアップ手順がわからない場合、現在のオペレーティングシステムの管理者ガイドを参照してください。

---

注 –

Trusted Solaris 8 リリースから移行する場合、Trusted Extensions のラベルが Trusted Solaris 8 のラベルと同一であるときのみデータを復元できます。Trusted Extensions ではマルチレベルディレクトリが作成されないので、 バックアップメディアの各ファイルおよびディレクトリは、バックアップのファイルラベルと同じラベルのゾーンに復元されます。バックアップは、Trusted Extensions を有効にしてシステムをリブートする前に、必ず完了してください。

---