JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11 セキュリティーガイドライン     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Oracle Solaris 11 セキュリティーの概要

2.  Oracle Solaris 11 セキュリティーの構成

Oracle Solaris OS のインストール

システムのセキュリティー保護

パッケージの検証

不要なサービスの無効化

ユーザーからの Power Management 機能の削除

バナーファイルへのセキュリティーメッセージの配置

セキュリティーメッセージのデスクトップログイン画面への配置

ユーザーのセキュリティー保護

より強固なパスワード制約の設定

標準ユーザーに対するアカウントロックの設定

標準ユーザーに対するより制限された umask 値の設定

ログイン/ログアウトに加えて重要なイベントの監査

リアルタイムでの lo イベントの監視

ユーザーからの不要な基本特権の削除

カーネルのセキュリティー保護

ネットワークの構成

ssh および ftp ユーザーに対するセキュリティーメッセージの表示

ネットワークルーティングデーモンの無効化

ブロードキャストパケット転送の無効化

エコー要求への応答の無効化

厳格なマルチホーミングの設定

不完全な TCP 接続の最大数の設定

中断中の TCP 接続の最大数の設定

初期の TCP 接続に対する強固な乱数の指定

ネットワークパラメータのセキュリティー保護された値へのリセット

ファイルシステムおよびファイルの保護

ファイルの保護と変更

アプリケーションおよびサービスのセキュリティー保護

重要なアプリケーションを含むゾーンの作成

ゾーンの資源の管理

IPsec および IKE の構成

IP フィルタの構成

Kerberos の構成

レガシーサービスへの SMF の追加

システムの BART スナップショットの作成

マルチレベル (ラベル付き) セキュリティーの追加

Trusted Extensions の構成

ラベル付き IPsec の構成

3.  Oracle Solaris 11 セキュリティーの監視と保守

A.  Oracle Solaris の文献目録

ネットワークの構成

この時点で、役割を引き受けることができるユーザーが作成され、役割が作成されている場合があります。root 役割のみがシステムファイルを変更できます。

次のネットワーク作業から、サイトの要件に従って追加のセキュリティーを提供する作業を実行します。これらのネットワーク作業は、リモートログイン中のユーザーにシステムが保護されていることを通知し、IP、ARP、および TCP プロトコルを強化します。

タスク
説明
参照先
サイトのセキュリティーポリシーが反映された警告メッセージを表示します。
ユーザーおよび不審な攻撃者にシステムが監視されていることを通知します。
ssh および ftp ユーザーに対するセキュリティーメッセージの表示」
ネットワークルーティングデーモンを無効にします。
不審なネットワーク侵入者によるシステムへのアクセスを制限します。
「ネットワークルーティングデーモンの無効化」
ネットワークトポロジに関する情報の流布を回避します。
パケットのブロードキャストを回避します。
「ブロードキャストパケット転送の無効化」
ブロードキャストエコー要求およびマルチキャストエコー要求への応答を回避します。
「エコー要求への応答の無効化」
他のドメインへのゲートウェイであるシステム (ファイアウォールや VPN ノードなど) では、厳格な転送元および転送先のマルチホーミングをオンにします。
ヘッダーにゲートウェイのアドレスが指定されていないパケットがゲートウェイ外に移動することを回避します。
「厳格なマルチホーミングの設定」
不完全なシステム接続の数を制御することによって、DOS 攻撃を回避します。
TCP リスナーに対する不完全な TCP 接続の許容数を制限します。
「不完全な TCP 接続の最大数の設定」
許可される受信接続の数を制御することによって、DOS 攻撃を回避します。
TCP リスナーに対する中断中の TCP 接続のデフォルト最大数を指定します。
「中断中の TCP 接続の最大数の設定」
初期の TCP 接続に対して強固な乱数を生成します。
RFC 1948 で規定されているシーケンス番号生成値に準拠します。
「初期の TCP 接続に対する強固な乱数の指定」
ネットワークパラメータをセキュリティー保護されたデフォルト値に戻します。
管理操作によって削減されたセキュリティーを強化します。
「ネットワークパラメータのセキュリティー保護された値へのリセット」
アプリケーションを適切なユーザーに制限するために、TCP ラッパーをネットワークサービスに追加します。
ネットワークサービス (FTP など) へのアクセスが許可されるシステムを指定します。

デフォルトでは、『Oracle Solaris のシステム管理 (ネットワークサービス)』の「sendmail の version 8.12 からの TCP ラッパーのサポート」で説明するように、sendmail アプリケーションは TCP ラッパーで保護されています。
すべての inetd サービスで TCP ラッパーを有効にするときは、『Oracle Solaris の管理: IP サービス』の「TCP ラッパーを使って TCP サービスのアクセスを制御する方法」を参照してください。

FTP ネットワークサービスを保護する TCP ラッパーの例については、『Oracle Solaris のシステム管理 (ネットワークサービス)』の「SMF を使用して FTP サーバーを起動する方法」を参照してください。

ssh および ftp ユーザーに対するセキュリティーメッセージの表示

この手順を使用して、リモートログイン時およびファイル転送時に警告を表示します。

始める前に

root 役割になっている必要があります。/etc/issue ファイルは、「バナーファイルへのセキュリティーメッセージの配置」手順 1 で作成したものです。

  1. ssh を使用してログインするユーザーに対してセキュリティーメッセージを表示するには、次の手順に従います。
    1. /etc/sshd_config ファイル内の Banner 設定のコメントを解除します。
      # vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
    2. ssh サービスを更新します。
      # svcadm refresh ssh

    詳細は、issue(4) および sshd_config(4) のマニュアルページを参照してください。

  2. ftp を使用してログインするユーザーに対してセキュリティーメッセージを表示するには、次の手順に従います。
    1. proftpd.conf ファイルに DisplayConnect 設定を追加します。
      # vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
    2. ftp サービスを再起動します。
      # svcadm restart ftp

      詳細は、ProFTPD の Web サイトを参照してください。

ネットワークルーティングデーモンの無効化

この手順を使用して、デフォルトルーターを指定したインストール後にネットワークルーティングを回避します。それ以外の場合は、手動でルーティングを構成したあとに、この手順を実行します。

注 - 多くのネットワーク構成の手順で、ルーティングデーモンを無効にする必要があります。したがって、より大規模な構成手順の一部として、このデーモンを無効にしておく場合があります。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。

  1. ルーティングデーモンが動作していることを確認します。
    # svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

    サービスが実行中でない場合は、ここで停止できます。

  2. ルーティングデーモンを無効にします。
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u
  3. ルーティングデーモンが無効になっていることを確認します。
    # svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

参照

routeadm(1M) のマニュアルページ

ブロードキャストパケット転送の無効化

デフォルトでは、Oracle Solaris はブロードキャストパケットを転送します。サイトのセキュリティーポリシーでブロードキャストフラッディングの可能性を減少させる必要がある場合は、この手順を使用してデフォルトを変更します。

注 - _forward_directed_broadcasts ネットワークプロパティーを無効にすると、ブロードキャスト ping も無効になっています。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。

  1. IP パケットに対してブロードキャストパケット転送プロパティーを 0 に設定します。
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. 現在の値を検証します。
    # ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

参照

ipadm(1M) のマニュアルページ

エコー要求への応答の無効化

この手順を使用して、ネットワークトポロジに関する情報の流布を回避します。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。

  1. IP パケットに対してブロードキャストエコー要求への応答プロパティーを 0 に設定して、現在の値を検証します。
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. IP パケットに対してマルチキャストエコー要求への応答プロパティーを 0 に設定して、現在の値を検証します。
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

参照

詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_respond_to_echo_broadcast と _respond_to_echo_multicast (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。

厳格なマルチホーミングの設定

他のドメインへのゲートウェイであるシステム (ファイアウォールや VPN ノードなど) では、この手順を使用して厳格なマルチホーミングをオンにします。

Oracle Solaris 11 リリースでは、IPv4 および IPv6 用の新しいプロパティー hostmodel が導入されています。このプロパティーは、マルチホームシステム上での IP パケットの送受信動作を制御します。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。

  1. IP パケットに対して hostmodel プロパティーを strong に設定します。
    # ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6
  2. 現在の値を検証し、指定可能な値に注意してください。
    # ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

参照

詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「hostmodel (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。

厳格なマルチホーミングの使用についての詳細は、『Oracle Solaris の管理: IP サービス』の「トンネルモードの IPsec で VPN を保護する方法」を参照してください。

不完全な TCP 接続の最大数の設定

この手順を使用して、不完全な中断中の接続の数を制御することによってサービス拒否 (DOS) 攻撃を回避します。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。

  1. 受信接続の最大数を設定します。
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. 現在の値を検証します。
    # ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

参照

詳細については、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_conn_req_max_q0」および ipadm(1M) のマニュアルページを参照してください。

中断中の TCP 接続の最大数の設定

この手順を使用して、許可される受信接続の数を制御することによって DOS 攻撃を回避します。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。

  1. 受信接続の最大数を設定します。
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. 現在の値を検証します。
    # ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

参照

詳細については、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_conn_req_max_q」および ipadm(1M) のマニュアルページを参照してください。

初期の TCP 接続に対する強固な乱数の指定

この手順では、TCP の初期シーケンス番号生成パラメータを RFC 1948 に準拠するように設定します。

始める前に

システムファイルを変更するには、root 役割になる必要があります。

ネットワークパラメータのセキュリティー保護された値へのリセット

デフォルトでセキュリティー保護された多くのネットワークパラメータはチューニング可能であるため、変更可能です。サイトの条件が許す場合は、次のチューニング可能パラメータをデフォルト値に戻します。

始める前に

ネットワーク管理権利プロファイルが割り当てられている必要があります。パラメータの現在値がデフォルト値よりも安全ではありません。

  1. IP パケットに対してソースパケット転送プロパティーを 0 に設定して、現在の値を検証します。

    デフォルト値で、なりすましパケットからの DOS 攻撃が回避されます。

    # ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

    詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「forwarding (ipv4 または ipv6)」を参照してください。

  2. IP パケットに対してネットマスク応答プロパティーを 0 に設定して、現在の値を検証します。

    デフォルト値で、ネットワークトポロジに関する情報の流布が回避されます。

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. IP パケットに対してタイムスタンプ応答プロパティーを 0 に設定して、現在の値を検証します。

    デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。

    # ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. IP パケットに対してブロードキャストタイムスタンプ応答プロパティーを 0 に設定して、現在の値を検証します。

    デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. IP パケットに対して無視リダイレクトプロパティーを 0 に設定して、現在の値を検証します。

    デフォルト値で、システムでの追加 CPU の要求が回避されます。

    # ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1
  6. IP ソースルーティングを回避します。

    診断目的で IP ソースルーティングが必要な場合は、このネットワークパラメータを無効にしないでください。

    # ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1

    詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_rev_src_routes」を参照してください。

  7. IP パケットに対して無視リダイレクトプロパティーを 0 に設定して、現在の値を検証します。

    デフォルト値で、システムでの追加 CPU の要求が回避されます。通常、適切に設計されたネットワークではリダイレクトは必要ありません。

    # ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

参照

ipadm(1M) のマニュアルページ

Copyright © 2011, 2012, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ