システムのセキュリティー保護

次の作業がもっとも多く順番に実行されています。この時点で、Oracle Solaris 11 OS がインストールされ、root 役割を引き受けることができる初期ユーザーのみがシステムにアクセスできます。

パッケージの検証

インストール直後に、パッケージを検証することによってインストールを検証します。

始める前に

root 役割になっている必要があります。

1. pkg verify コマンドを実行します。

   レコードを保存するには、コマンド出力をファイルに送信します。

   # pkg verify > /var/pkgverifylog

2. エラーがないかどうかログをレビューします。
3. エラーが見つかった場合は、メディアから再インストールするか、エラーを修正します。

参照

詳細については、pkg(1) および pkg(5) のマニュアルページを参照してください。マニュアルページには、pkg verify コマンドの使用例が記載されています。

不要なサービスの無効化

この手順を使用して、システムの目的に応じて必要がないサービスを無効にします。

始める前に

root 役割になっている必要があります。

1. オンラインサービスを一覧表示します。

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. このシステムで必要がないサービスを無効にします。

   たとえば、システムが NFS サーバーや Web サーバーではなく、サービスがオンラインである場合は、これを無効にします。

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

参照

詳細は、『Oracle Solaris の管理: 一般的なタスク』の第 6 章「サービスの管理 (概要)」および svcs(1) のマニュアルページを参照してください。

ユーザーからの Power Management 機能の削除

この手順を使用して、このシステムのユーザーがシステムを保存停止したり、電源を切ったりすることを回避します。

始める前に

root 役割になっている必要があります。

1. コンソールユーザー権利プロファイルの内容をレビューします。

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. ユーザーが保持する権限がコンソールユーザープロファイルに含まれる権利プロファイルを作成します。

   手順については、『Oracle Solaris の管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」を参照してください。

3. /etc/security/policy.conf ファイルでコンソールユーザー権利プロファイルをコメントアウトします。

   #CONSOLE_USER=Console User

4. 手順 2で作成した権利プロファイルをユーザーに割り当てます。

   # usermod -P +new-profile username

参照

詳細については、『Oracle Solaris の管理: セキュリティーサービス』の「policy.conf ファイル」および policy.conf(4) と usermod(1M) のマニュアルページを参照してください。

バナーファイルへのセキュリティーメッセージの配置

この手順を使用して、サイトのセキュリティーポリシーが反映された警告メッセージを作成します。これらのファイルの内容は、ローカルおよびリモートのログイン時に表示されます。

始める前に

root 役割になっている必要があります。ベストプラクティスは、セキュリティーメッセージの内容について会社の弁護士に相談することです。

1. セキュリティーメッセージを /etc/issue ファイルに入力します。

   # vi /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   詳細は、issue(4) のマニュアルページを参照してください。

   /etc/issue ファイルの内容が telnet プログラムのログインメッセージとして表示されます。ほかのアプリケーションでのこのファイルの使用については、「ssh および ftp ユーザーに対するセキュリティーメッセージの表示」 および 「セキュリティーメッセージのデスクトップログイン画面への配置」を参照してください。

2. セキュリティーメッセージを /etc/motd ファイルに追加します。

   # vi /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

セキュリティーメッセージのデスクトップログイン画面への配置

ユーザーがログイン時に確認するセキュリティーメッセージを作成する方法を複数の中から選択します。

詳細は、デスクトップ上で「システム」>「ヘルプ」メニューをクリックして GNOME ヘルプブラウザを起動してください。yelp コマンドを使用することもできます。デスクトップログインスクリプトについては、gdm(1M) のマニュアルページの「GDM Login Scripts and Session Files」のセクションを参照してください。

始める前に

root 役割になっている必要があります。ベストプラクティスは、セキュリティーメッセージの内容について会社の弁護士に相談することです。

• セキュリティーメッセージをデスクトップログイン画面に配置します。

  複数のオプションがあります。ダイアログボックスを作成するオプションでは、「バナーファイルへのセキュリティーメッセージの配置」の手順 1 で作成した /etc/issue ファイルを使用できます。

  • オプション 1: ログイン時にダイアログボックスにセキュリティーメッセージを表示するデスクトップファイルを作成します。

    # vi /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    ユーザーは、ログインウィンドウでの認証後にワークスペースに移動するには、このダイアログボックスを閉じる必要があります。zenity コマンドのオプションについては、zenity(1) のマニュアルページを参照してください。

  • オプション 2: ダイアログボックスにセキュリティーメッセージが表示されるように GDM 初期化スクリプトを変更します。

    /etc/gdm ディレクトリには、デスクトップログインの前、間、または直後にセキュリティーメッセージを表示するための 3 つの初期化スクリプトが含まれています。これらのスクリプトは、Oracle Solaris 10 リリースでも利用可能です。

    • ログイン画面が表示される前にセキュリティーメッセージを表示します。

      # vi /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • 認証後のログイン画面にセキュリティーメッセージを表示します。

      このスクリプトは、ユーザーのワークスペースが表示される前に実行されます。このスクリプトを作成するには、Default.sample スクリプトを変更します。

      # vi /etc/gdm/PostLogin/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

    • 認証後のユーザーの最初のワークスペースにセキュリティーメッセージを表示します。

      # vi /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message" \
      --filename=/etc/issue

      ---

      注 - このダイアログボックスは、ユーザーのワークスペース上のウィンドウの下に隠れることがあります。

      ---

  • オプション 3: 入力フィールドの上にセキュリティーメッセージが表示されるようにログインウィンドウを変更します。

    メッセージに合わせてログインウィンドウが拡大されます。この方法では、/etc/issue ファイルを指定しません。GUI にテキストを入力する必要があります。

    ---

    注 - ログインウィンドウ (gdm-greeter-login-window.ui) が pkg fix コマンドと pkg update コマンドによって上書きされます。変更を保持するには、このファイルを構成ファイルディレクトリにコピーし、システムをアップグレードしたあとで、その変更を新しいファイルにマージします。詳細は、pkg(5) のマニュアルページを参照してください。

    ---

    1. ディレクトリをログインウィンドウのユーザーインタフェースに変更します。

       # cd /usr/share/gdm

    2. (省略可能) 元のログインウィンドウの UI のコピーを保存します。

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. GNOME Toolkit のインタフェースデザイナを使用して、ログインウィンドウにラベルを追加します。

       glade-3 プログラムによって GTK+ インタフェースデザイナが開きます。ユーザー入力フィールドの上に表示されるラベルにセキュリティーメッセージを入力します。

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       インタフェースデザイナのガイドを確認するには、GNOME ヘルプブラウザで「開発」をクリックしてください。glade-3(1) のマニュアルページは、マニュアルページの「アプリケーション」の下に表示されます。

    4. (省略可能) ログインウィンドウの GUI を変更したら、コピーを保存します。

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

例 2-1 デスクトップログイン時の短い警告メッセージの作成

この例では、デスクトップファイル内の zenity コマンドへの引数として管理者が短いメッセージを入力します。管理者は、--warning オプションを使用してメッセージとともに警告アイコンも表示します。

# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application