ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris 11 セキュリティーの概要
2. Oracle Solaris 11 セキュリティーの構成
ユーザーからの Power Management 機能の削除
ssh および ftp ユーザーに対するセキュリティーメッセージの表示
ネットワークパラメータのセキュリティー保護された値へのリセット
この時点で、root 役割を引き受けることができる初期ユーザーのみがシステムにアクセスできます。標準ユーザーがログインする前に、次の作業がもっとも多く順番に実行されています。
|
デフォルトがサイトのセキュリティー要件を満たさない場合に、この手順を使用します。このステップは、/etc/default/passwd ファイルのエントリ一覧に従います。
始める前に
デフォルトを変更する前に、変更によってすべてのユーザーがアプリケーションおよびネットワーク上の他のシステムへの認証を行うことができることを確認します。
root 役割になっている必要があります。
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
参照
パスワードの作成を制約する変数の一覧については、 /etc/default/passwd ファイルを参照してください。デフォルトはファイルに指定されています。
インストール後に有効になるパスワード制約については、「システムアクセスの制限と監視」を参照してください。
passwd(1) のマニュアルページ
この手順を使用して、特定の数のログイン試行に失敗したあとに通常ユーザーアカウントをロックします。
注 - 役割をロック解除できるため、役割を引き受けることができるユーザーのアカウントロックを設定しないでください。
始める前に
root 役割になっている必要があります。管理アクティビティーで使用されるシステムでは、この保護をシステム全体に設定しないでください。
# vi /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# vi /etc/default/login ... #RETRIES=5 RETRIES=3 ...
参照
ユーザーおよび役割セキュリティー属性の説明については、『Oracle Solaris の管理: セキュリティーサービス』の第 10 章「Oracle Solaris のセキュリティー属性 (参照)」を参照してください。
選択したマニュアルページには、policy.conf(4) および user_attr(4) が含まれています。
デフォルトの umask 値 022 では十分に制限されない場合は、この手順を使用して、より制限されたマスクを設定します。
始める前に
root 役割になっている必要があります。
Oracle Solaris には、管理者がユーザーシェルのデフォルトをカスタマイズするためのディレクトリが用意されています。これらのスケルトンディレクトリには、.profile 、.bashrc、.kshrc などのファイルが含まれています。
次の値のいずれかを選択します。
umask 027 – 適度なファイル保護を提供します。
(740) – グループによる w、その他のユーザーによる rwx
umask 026 – 少し強固なファイル保護を提供します。
(741) – グループによる w、その他のユーザーによる rw
umask 077 – 完全なファイル保護を提供します。
(700) – グループや他のユーザーのアクセスを禁止します。
参照
詳細については、次を参照してください。
選択したマニュアルページには、usermod(1M) および umask(1) が含まれています。
この手順を使用して、管理コマンド、システムに侵入する試み、およびサイトのセキュリティーポリシーで指定されたその他の重要なイベントを監査します。
注 - この手順の例では、セキュリティーポリシーを満たすほど十分でない場合があります。
始める前に
root 役割になっている必要があります。サイトのセキュリティーポリシーを監査に関して実装しています。
すべてのユーザーおよび役割に対して、AUE_PFEXEC 監査イベントを事前に選択したマスクに追加します。
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
参照
監査ポリシーについての詳細については、『Oracle Solaris の管理: セキュリティーサービス』の「監査ポリシー」を参照してください。
監査フラグの設定例については、『Oracle Solaris の管理: セキュリティーサービス』の「監査サービスの構成 (タスク)」および『Oracle Solaris の管理: セキュリティーサービス』の「監査サービスのトラブルシューティング (タスク)」を参照してください。
監査を構成するときは、auditconfig(1M) のマニュアルページを参照してください。
この手順を使用して、発生時に監視するイベントについて audit_syslog プラグインをアクティブにします。
始める前に
syslog.conf ファイルを監視するには、root 役割になる必要があります。その他のステップでは、監査構成権利プロファイルが割り当てられる必要があります。
# auditconfig -setplugin audit_syslog active p_flags=lo
デフォルトエントリには、ログファイルの場所が含まれています。
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system/system-log
更新時に、監査サービスによって変更が監査プラグインに読み込まれます。
# audit -s
参照
監査概要を別のシステムに送信するときは、『Oracle Solaris の管理: セキュリティーサービス』の「syslog 監査ログの構成方法」を参照してください。
監査サービスでは、大量の出力が生成される可能性があります。ログの管理方法については、logadm(1M) のマニュアルページを参照してください。
出力を監視するときは、「audit_syslog 監査概要の監視」を参照してください。
特定の状況では、3 つの基本特権のうち 1 つ以上を標準ユーザーの基本セットから削除できます。
file_link_any - プロセスの実効 UID と異なる UID によって所有されているファイルへのハードリンクを作成できるようにします。
proc_info – シグナルを送信できるプロセス以外のプロセスのステータスを調査できるようにします。調査できないプロセスは /proc に表示されないため、存在していないように見えます。
proc_session - プロセスのセッションの外部で信号を送信したり、プロセスを監視したりできるようにします。
始める前に
root 役割になっている必要があります。
# usermod -K defaultpriv=basic,!file_link_any user
# usermod -K defaultpriv=basic,!proc_info user
# usermod -K defaultpriv=basic,!proc_session user
# usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user
参照
詳細については、『Oracle Solaris の管理: セキュリティーサービス』の第 8 章「役割と特権の使用 (概要)」および privileges(5) のマニュアルページを参照してください。