ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
Trusted Extensions での遠隔システムの管理方式
Trusted Extensions での遠隔システムの構成および管理 (作業マップ)
遠隔 Trusted Extensions システムの遠隔管理を有効にする
遠隔アクセス用に Xvnc で Trusted Extensions システムを構成する
遠隔 Trusted Extensions システムにログインして管理する
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
遠隔管理には重大なセキュリティーリスクが伴います。信頼できないシステム上のユーザーからの遠隔管理では特にそうです。デフォルトの Trusted Extensions では、どのシステムからも遠隔管理は行えません。
ネットワークが構成されるまでは、すべての遠隔ホストに admin_low セキュリティーテンプレートが割り当てられます。つまり、それらのホストはラベルなしホストとして認識されます。ラベル付きゾーンが構成されるまで、使用可能なゾーンは大域ゾーンだけになります。Trusted Extensions では、大域ゾーンが管理ゾーンです。これにアクセスできるのは役割だけです。具体的には、大域ゾーンに到達するには、アカウントに ADMIN_LOW から ADMIN_HIGH のラベル範囲が含まれている必要があります。
この初期状態の間、Trusted Extensions システムは複数のメカニズムによって遠隔攻撃から保護されています。それらのメカニズムには、netservices の値、デフォルトの ssh ポリシー、デフォルトのログインポリシー、デフォルトの PAM ポリシーなどがあります。
インストール時には、Secure Shell 以外の遠隔サービスは有効化されず、ネットワーク上で待機しません。
ただし、ssh ポリシー、ログインポリシー、および PAM ポリシーが存在しているため、root や役割が ssh サービスを使用して遠隔ログインを行うことはできません。
root は役割であるため、root アカウントを使用して遠隔ログインを行うことはできません。PAM の制限により、役割はログインできません。
root をユーザーアカウントに変更しても、デフォルトのログインポリシーと ssh ポリシーにより、root ユーザーによる遠隔ログインは禁止されます。
2 つのデフォルトの PAM 値によって遠隔ログインが禁止されます。
pam_roles モジュールは、アカウントタイプ role からのローカルログインと遠隔ログインを拒否します。
Trusted Extensions PAM モジュール pam_tsol_account は、CIPSO プロトコルを使用しないかぎり、大域ゾーンへの遠隔ログインを拒否します。このポリシーの目的は、ほかの Trusted Extensions システムを使用して遠隔管理を実行できるようにすることです。
このため、Oracle Solaris システムの場合と同様に、遠隔管理を構成する必要があります。Trusted Extensions では、大域ゾーンへの到達に必要なラベル範囲と pam_tsol_account モジュールという、2 つの構成要件が追加されます。