Oracle Solaris Trusted Extensions 構成ガイド

第 3 章 Solaris OS への Trusted Extensions ソフトウェアの追加 (手順)

この章では、Trusted Extensions ソフトウェア向けに Solaris OS を準備する方法を説明します。また、Trusted Extensions を有効化する前に必要な情報についても説明します。Trusted Extensions を有効化する手順についても説明します。

初期設定チームの担当

Trusted Extensions ソフトウェアは、別々のタスクを担当する 2 人によって有効化および構成されるように設計されています。しかし、Solaris インストールプログラムでは、この 2 つの役割によってタスクを区分できません。その代わり、タスクの区分は役割によって実行されます。Trusted Extensions のインストールが終了するまで役割とユーザーは作成されないので、有効化および構成は、少なくとも 2 人で構成される初期設定チームで行うことをお勧めします。

Trusted Extensions 用 Solaris OS のインストールまたはアップグレード

Solaris のインストールオプションの選択によっては、Trusted Extensions の使用方法およびセキュリティーに影響することがあります。

ProcedureSolaris システムをインストールして Trusted Extensions をサポートする

ここに示すタスクは、Solaris OS のフレッシュインストールの場合に該当します。アップグレードの場合は、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。

  1. Solaris OS をインストールする場合、次のインストールの選択に関して推奨アクションを実行します。

    各選択は、Solaris インストール時の質問の順序に合わせて記載しています。この表に示されないインストールの質問は、Trusted Extensions に影響しません。

    Solaris のオプション 

    Trusted Extensions の動作 

    推奨アクション 

    NIS ネームサービス 

    NIS+ ネームサービス 

    Trusted Extensions は、ネームサービスのファイルおよび LDAP をサポートします。ホスト名解決には、DNS を使用できます。 

    NIS および NIS+ を選択しないでください。ファイルを意味する「なし」を選択できます。あとで、Trusted Extensions で機能するよう LDAP を構成できます。 

    アップグレード 

    Trusted Extensions は、特定のセキュリティー特性を持つラベル付きゾーンをインストールします。 

    アップグレードの場合は、「インストール済み Solaris システムを Trusted Extensions 用に準備する」を参照してください。

    root パスワード

    Trusted Extensions の管理ツールにはパスワードが必要です。root ユーザーにパスワードがない場合、root はシステムを構成できません。

    root パスワードを入力します。デフォルトの crypt_unix パスワード暗号化方式は変更しないでください。詳細は、『System Administration Guide: Security Services』「Managing Password Information」を参照してください。

    開発者グループ 

    Trusted Extensions は、ネットワークの管理のために Solaris 管理コンソールを使用します。エンドユーザーグループおよびそれより小さいグループは、Solaris 管理コンソールのパッケージをインストールしません。 

    ほかのシステムを管理するシステムには、エンドユーザーグループ、コアグループ、および限定ネットワークグループをインストールしないでください。 

    カスタムインストール 

    Trusted Extensions はゾーンをインストールするので、デフォルトインストールのパーティションより多くのディスク容量が必要になる場合があります。 

    カスタムインストールを選択し、パーティションを配置します。 

    役割用にスワップ空間の追加を検討します。ゾーンのクローンを作成する場合は、ZFS プール用に 2000M バイトのパーティションを作成します。 

    監査ファイルには、専用パーティションを作成するようにしてください。 

Procedureインストール済み Solaris システムを Trusted Extensions 用に準備する

ここに示すタスクは、すでに使用している Solaris システムがあり、その上で Trusted Extensions を実行する場合に該当します。また、アップグレード済みの Solaris システム上で Trusted Extensions を実行する場合も、この手順に従います。インストール済みの Solaris システムを変更する可能性のあるタスクは、Trusted Extensions 構成時に実行できます。

始める前に

Trusted Extensions は一部の Solaris 環境では有効化できません。

  1. 非大域ゾーンがシステムにインストールされている場合は、削除してください。

    または Solaris OS を再インストールします。Solaris OS を再インストールする場合、「Solaris システムをインストールして Trusted Extensions をサポートする」の手順に従います。

    Trusted Extensions はブランドゾーンを使用します。

  2. システムに root パスワードがない場合は作成します。

    Trusted Extensions の管理ツールにはパスワードが必要です。root ユーザーにパスワードがない場合、root はシステムを構成できません。

    デフォルトの crypt_unix パスワード暗号化方式を root ユーザーに使用します。詳細は、『System Administration Guide: Security Services』「Managing Password Information」を参照してください。


    注 –

    ユーザーはパスワードをほかの人に知られないようにしてください。その人がユーザーのデータにアクセスすると、アクセスした人を特定できず、責任を追求できなくなります。パスワードがほかの人に知られるのは、ユーザーが故意に教えてしまうような直接的な場合と、書き留めておいたパスワードを見られたり、安全でないパスワードを設定したりするなど、間接的な場合があります。Solaris OS では安全でないパスワードが設定されないようにできますが、ユーザーがパスワードを教えたり、書き留めたりするのを防止することはできません。


  3. サイトをこのシステムから管理する場合は、Solaris 管理コンソール 用の Solaris パッケージを追加します。

    Trusted Extensions は、ネットワークの管理のために Solaris 管理コンソールを使用します。エンドユーザーグループまたはそれより小さいグループでインストールされたシステムには、Solaris 管理コンソールのパッケージはありません。

  4. xorg.conf ファイルを作成した場合、それを変更する必要があります。

    /etc/X11/xorg.conf ファイルの Module セクションの最後に、次の行を追加します。


    load "xtsol"

    注 –

    デフォルトでは、xorg.conf ファイルはありません。このファイルがない場合は、何もする必要はありません。


  5. Solaris 10 9/09 および Solaris 10 9/10 リリースでは、システムが Oracle Solaris Cluster 構成の一部になっている場合、クラスタ内で Trusted Extensions を有効にできます。


    注 –

    アプリケーションは Oracle Solaris Cluster のゾーンクラスタでのみ実行する必要があります。


    Trusted Extensions による Oracle Solaris Cluster のサポートの詳細については、『Oracle Solaris Cluster Software Installation Guide 』の第 7 章「Creating Non-Global Zones and Zone Clusters」の「How to Prepare for Trusted Extensions Use With Zone Clusters」を参照してください。

  6. Trusted Extensions システムをアップグレードする場合は、システムのアップグレード前に次の情報を参照してください。

    • 『Solaris 10 の概要』の第 1 章「Solaris 10 10/08 リリースの新機能」

    • 『Solaris 10 10/08 ご使用にあたって』


    ヒント –

    関連情報を見つけるには、文字列 Trusted Extensions を検索してください。


  7. ゾーンのクローンを作成する場合、ZFS プール用のパーティションを作成します。

    ゾーン作成方法を決定するには、「Trusted Extensions でのゾーン計画」を参照してください。

  8. このシステムにラベル付きゾーンをインストールする場合は、パーティションにゾーン用のディスク容量が十分にあることを確認します。

    Trusted Extensions が設定されるほとんどのシステムには、ラベル付きゾーンをインストールします。ラベル付きゾーンでは、インストールされたシステムによって確保されたディスク容量よりも多くの容量が必要になることがあります。

    ただし、一部の Trusted Extensions システムには、ラベル付きゾーンをインストールする必要がありません。たとえば、マルチレベルのプリンタサーバー、マルチレベルの LDAP サーバー、マルチレベルの LDAP プロキシサーバーなどでは、ラベル付きゾーンをインストールする必要はありません。このようなシステムでは、追加のディスク容量が不要な場合もあります。

  9. (省略可能) 役割用のスワップ空間を追加します。

    役割が Trusted Extensions を管理します。役割のプロセスのためにスワップの追加を検討します。

  10. (省略可能) 監査ファイル専用のパーティションを作成します。

    Trusted Extensions では、デフォルトで監査が有効になっています。監査ファイルには、専用パーティションを作成するようにしてください。

  11. (省略可能) 強化された構成を実行するには、Trusted Extensions を有効化する前に netservices limited コマンドを実行します。


    # netservices limited
    

Trusted Extensions の有効化前の情報収集と決定事項

Trusted Extensions を構成するシステムごとに、確認しておくべき情報、および構成に関して決定しておくべき事項があります。たとえば、ラベル付きゾーンを作成するには、ゾーンのクローンを Solaris ZFS ファイルシステムとして作成できるディスク容量を確保します。Solaris ZFS によって、ゾーン用の分離領域がさらに提供されます。

ProcedureTrusted Extensions の有効化前にシステム情報を収集する

  1. システムのメインホスト名および IP アドレスを確認します。

    このホスト名はネットワーク上のホストの名前であり、大域ゾーンです。Solaris システムでは、次のように getent コマンドを実行するとホスト名が返されます。


    # getent hosts machine1
    192.168.0.11   machine1
  2. ラベル付きゾーンに対して IP アドレスの割り当てを決定します。

    2 つの IP アドレスを持つシステムは、マルチレベルサーバーとして動作します。IP アドレスが 1 つのシステムは、印刷またはマルチレベルタスクを実行するためには、マルチレベルサーバーにアクセスする必要があります。IP アドレスのオプションについては、「マルチレベルアクセスの計画」を参照してください。

    ほとんどのシステムでは、ラベル付きゾーンのために 2 つめの IP アドレスが必要になります。ラベル付きゾーン用に 2 つめの IP アドレスを持つホストの場合の例を、次に示します。


    # getent hosts machine1-zones
    192.168.0.12   machine1-zones
  3. LDAP 構成情報を収集します。

    Trusted Extensions ソフトウェアを実行する LDAP サーバーの場合、次の情報が必要です。

    • LDAP サーバーがサービスを提供する Trusted Extensions ドメインの名前

    • LDAP サーバーの IP アドレス

    • ロードする LDAP プロファイル名

    LDAP プロキシサーバーの場合、LDAP プロキシのパスワードも必要です。

ProcedureTrusted Extensions の有効化前にシステムおよびセキュリティーに関する事項を決定する

Trusted Extensions を構成するシステムごとに、ソフトウェアの有効化に先立って、構成に関する決定を行います。

  1. システムハードウェアをどれくらい安全に保護する必要があるかを決定します。

    セキュリティー保護されたサイトでは、このステップはすべてのインストール済み Solaris システムに関して行われています。

    • SPARC システムの場合、PROM セキュリティーレベルおよびパスワードが提供されています。

    • x86 システムの場合は BIOS が保護されています。

    • すべてのシステムで、root がパスワードで保護されています。

  2. label_encodings ファイルを準備します。

    サイト独自の label_encodings ファイルがある場合、その他の構成タスクを開始する前にファイルを確認してインストールします。サイト独自の label_encodings ファイルがない場合、Sun 提供のデフォルトファイルを使用できます。デフォルト以外の label_encodings ファイルも /etc/security/tsol ディレクトリにあります。Sun のファイルはデモファイルです。本番システムには適さないことがあります。

    サイトに合わせてファイルをカスタマイズするには、『Solaris Trusted Extensions ラベルの管理』を参照してください。

  3. label_encodings ファイルのラベルのリストから、作成する必要のあるラベル付きゾーンのリストを作成します。

    次の表に、デフォルトの label_encodings ファイルでの、ラベル名と推奨されるゾーン名の一覧を示します。

    ラベル 

    ゾーン名 

    PUBLIC

    public

    CONFIDENTIAL : INTERNAL

    internal

    CONFIDENTIAL : NEED TO KNOW

    needtoknow

    CONFIDENTIAL : RESTRICTED

    restricted

    NFS マウントを簡単にするため、特定のラベルのゾーン名はすべてのシステムで同じにする必要があります。マルチレベルのプリンタサーバーなどの一部のシステムでは、ラベル付きゾーンがインストールされている必要はありません。ただし、ラベル付きゾーンをプリンタサーバーにインストールする場合、そのゾーン名はネットワーク上のほかのシステムのゾーン名と同じにする必要があります。

  4. 役割をいつ作成するかを決定します。

    役割になって Trusted Extensions を管理するようにサイトのセキュリティーポリシーで求められることがあります。このような場合、または、評価された構成の基準を満たすようにシステムを構成する場合、構成プロセスの早い段階で役割を作成してください。

    役割を使用してシステムを構成する必要がない場合、スーパーユーザーとしてシステムを構成できます。この構成方法はあまり安全ではありません。構成時にどのユーザーがスーパーユーザーであったかは、監査レコードには示されません。スーパーユーザーはシステム上であらゆるタスクを実行できますが、役割が実行できるタスクは制限されます。したがって、役割によって構成を実行する場合、より細かく制御できます。

  5. ゾーンの作成方法を選択します。

    最初からのゾーンの作成、ゾーンのコピー、またはゾーンのクローンの作成があります。これらの方法は、作成にかかる時間、ディスク容量の要件、および堅牢性が異なります。それぞれの利点および欠点については、「Trusted Extensions でのゾーン計画」を参照してください。

  6. LDAP 構成を計画します。

    ネットワーク接続されないシステムでは、ローカルファイルを使用した管理が実用的です。

    LDAP は、ネットワーク接続された環境用のネームサービスです。複数のマシンを構成する場合、データ入力された LDAP サーバーが必要です。

    • 既存の Sun Java System Directory Server (LDAP サーバー) がある場合、Trusted Extensions を実行するシステムに LDAP プロキシサーバーを作成できます。マルチレベルのプロキシサーバーは、ラベルなしの LDAP サーバーとの通信を取り扱います。

    • LDAP サーバーがない場合、Trusted Extensions ソフトウェアを実行するシステムをマルチレベルの LDAP サーバーとして構成できます。

  7. 各システムおよびネットワークのセキュリティーに関するその他の問題を決定します。

    たとえば、次のようなセキュリティーに関する問題を検討します。

    • システムに接続し、使用のために割り当てることができるデバイスがどれかを指定します。

    • どのラベルの、どのプリンタをシステムからアクセス可能にするかを決定します。

    • ゲートウェイシステム、パブリックキオスクなど、制限されたラベル範囲を持つシステムを特定します。

    • 特定のラベルなしシステムと通信できるラベル付きシステムを決定します。

Trusted Extensions サービスの有効化

Solaris 10 5/08 リリース以降の Trusted Extensions は、サービス管理機能 (Service Management Facility、SMF) によって管理されるサービスです。サービス名は svc:/system/labeld:default です。labeld サービスはデフォルトでは無効になっています。

ProcedureTrusted Extensions の有効化

labeld サービスは通信の終端にラベルを付加します。たとえば、次のものにラベルが付けられます。

始める前に

「Trusted Extensions 用 Solaris OS のインストールまたはアップグレード」「Trusted Extensions の有効化前の情報収集と決定事項」のタスクが完了しています。

  1. Solaris システム上で、labeld サービスを有効にします。


    # svcadm enable -s svc:/system/labeld:default
    

    labeld サービスはシステムにラベルを追加し、Solaris 監査サービスとデバイス割り当てを開始します。プロンプトにカーソルが戻るまで、ほかのタスクを実行しないでください。

  2. サービスが使用可能になっていることを確認します。


    # svcs -x labeld
    svc:/system/labeld:default (Trusted Extensions)
     State: online since weekday month date hour:minute:second year
       See: labeld(1M)
    Impact: None.

    注 –

    システムをリブートしないとラベルは表示されません。「Trusted Extensions での大域ゾーンの設定」には、リブート前に実行すべきタスクが含まれています。


注意事項

次のメッセージは、サービスとしての Trusted Extensions をサポートする Solaris リリースが実行されていないことを示します。 svcs: Pattern 'labeld' doesn't match any instances.

labeld サービスをサポートしない Solaris システム上で Trusted Extensions を実行するには、『Solaris Trusted Extensions インストールと構成』ガイドの手順に従います。