Solaris システムセキュリティでの新機能

この節では、新しいセキュリティ機能について説明します。

システムファイルとシステムディレクトリに対する新しいデフォルトの所有権とアクセス権

この Solaris リリースでは、多くのシステムファイルとシステムディレクトリのデフォルト所有権が以前のリリースから変更になり、アクセス権が以前のリリースより厳格になりました。デフォルトの所有権とアクセス権は次のように変更されました。

• ファイルとディレクトリのデフォルト所有権は bin から root に変わった

• デフォルトのアクセス権が従来 775 であったファイルとディレクトリは、デフォルトのアクセス権が 755 になる

• デフォルトのアクセス権が従来 664 であったファイルとディレクトリは、デフォルトのアクセス権が 644 になる

• システムのデフォルト umask は 022

Solaris 8 が動作するシステムに追加するパッケージを作成する場合は、次の点に注意してください。

• すべてのファイルとディレクトリのデフォルト所有者は root でなければならない

• ディレクトリと実行可能ファイルのデフォルトアクセス権は 555 か 755 でなければならない

• 通常ファイルのデフォルトアクセス権は 644 か 444 でなければならない

• setuid や setgid 所有権をもつファイルに所有者が書き込むためには、所有者が root でなければならない

これらの変更がこのリリースのすべてのファイルやディレクトリに適用されるわけではありません。たとえば、OpenWindows や CDE のファイルやディレクトリには、これらの変更は適用されません。

役割によるアクセス制御

役割によるアクセス制御 (RBAC) は、スーパーユーザー特権をパッケージ化してユーザーアカウントに割り当てる柔軟な方法を提供します。この方法を利用すれば、特定の問題を解決しなければならないユーザーにすべてのスーパーユーザー特権を与える必要がなくなります。

詳細は、第 19 章「役割によるアクセス制御」を参照してください。

Sun Enterprise Authentication Mechanism (SEAM) または Kerberos V5 クライアントサポート

この機能は、Pluggable Authentication Module (PAM) を拡張する Kerberos V5 クライアント側インフラストラクチャと、NFS サービスなど RPC に基づくアプリケーションのセキュリティを保護するユーティリティプログラムを提供します。Kerberos は、ユーザーやサーバーレベルでの強力な認証、統合、またはプライバシサポートを提供します。選択可能な SEAS 3.0 の一部である Sun Enterprise Authentication Mechanism (SEAM) または Kerberos V5 ソフトウェア (たとえば、MIT ディストリビューション) と Kerberos クライアントをともに使用すれば、ネットワークへの完全なシングルサインオンを実現できます。

詳細は、第 21 章「SEAM の概要」を参照してください。