ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11.1 Information Library (日本語) |
セキュリティーメッセージをデスクトップログイン画面に配置する方法
この時点で、root 役割を引き受けることができる初期ユーザーのみがシステムにアクセスできます。標準ユーザーがログインする前に、次のタスクがもっとも多く順番に実行されています。
|
デフォルトがサイトのセキュリティー要件を満たさない場合に、この手順を使用します。このステップは、/etc/default/passwd ファイルのエントリ一覧に従います。
始める前に
デフォルトを変更する前に、変更によってすべてのユーザーがアプリケーションおよびネットワーク上の他のシステムへの認証を行うことができることを確認します。
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
参照
パスワードの作成を制約する変数の一覧については、 /etc/default/passwd ファイルを参照してください。デフォルトはファイルに指定されています。
インストール後に有効になるパスワード制約については、「システムアクセスの制限とモニター」を参照してください。
passwd(1) のマニュアルページ
この手順を使用して、特定の数のログイン試行に失敗したあとに通常ユーザーアカウントをロックします。
注 - 役割をロック解除できるため、役割を引き受けることができるユーザーのアカウントロックを設定しないでください。
始める前に
管理アクティビティーで使用されるシステムでは、この保護をシステム全体に設定しないでください。
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
参照
ユーザーおよび役割セキュリティー属性については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 10 章「Oracle Solaris のセキュリティー属性 (参照)」を参照してください。
選択したマニュアルページには、policy.conf(4) および user_attr(4) が含まれています。
デフォルトの umask 値 022 では十分に制限されない場合は、この手順を使用して、より制限されたマスクを設定します。
始める前に
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
Oracle Solaris には、管理者がユーザーシェルのデフォルトをカスタマイズするためのディレクトリが用意されています。これらのスケルトンディレクトリには、.profile、.bashrc、.kshrc などのファイルが含まれています。
次の値のいずれかを選択します。
umask 026 – 適度なファイル保護を提供します。
(741) – グループには r、他のユーザーには x
umask 027 – 厳密なファイル保護を提供します
(740) – グループには r、他のユーザーにはアクセス権なし
umask 077 – 完全なファイル保護を提供します。
(700) – グループや他のユーザーのアクセスを禁止します。
参照
詳細については、次を参照してください。
『Oracle Solaris 11.1 のユーザーアカウントとユーザー環境の管理』の「CLI を使用したユーザーアカウントの設定と管理」
選択したマニュアルページには、usermod(1M) および umask(1) が含まれています。
この手順を使用して、管理コマンド、システムに侵入する試み、およびサイトのセキュリティーポリシーで指定されたその他の重要なイベントを監査します。
注 - この手順の例では、セキュリティーポリシーを満たすほど十分でない場合があります。
始める前に
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
すべてのユーザーおよび役割に対して、AUE_PFEXEC 監査イベントを事前に選択したマスクに追加します。
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
参照
監査ポリシーについての詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「監査ポリシー」を参照してください。
監査フラグの設定例については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「監査サービスの構成 (タスク)」および『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「監査サービスのトラブルシューティング (タスク)」を参照してください。
監査を構成するときは、auditconfig(1M) のマニュアルページを参照してください。
この手順を使用して、発生時にモニターするイベントについて audit_syslog プラグインをアクティブにします。
始める前に
syslog.conf ファイルを変更するには、root 役割になる必要があります。その他のステップでは、監査構成権利プロファイルが割り当てられる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# auditconfig -setplugin audit_syslog active p_flags=lo
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
ヒント - rsyslog サービスインスタンスがオンラインの場合は、rsyslog.conf ファイルを変更します。
デフォルトエントリには、ログファイルの場所が含まれています。
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system-log:default
注 - rsyslog サービスがオンラインの場合は、system-log:rsyslog サービスインスタンスをリフレッシュします。
リフレッシュ時に、監査サービスによって変更が監査プラグインに読み込まれます。
# audit -s
参照
監査サマリーを別のシステムに送信する場合は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「syslog 監査ログの構成方法」に付随する例を参照してください。
監査サービスでは、大量の出力が生成される可能性があります。ログの管理方法については、logadm(1M) のマニュアルページを参照してください。
出力をモニターするときは、「audit_syslog 監査概要のモニタリング」を参照してください。
特定の状況では、3 つの基本特権のうち 1 つ以上を標準ユーザーの基本セットから削除できます。
file_link_any - プロセスの実効 UID と異なる UID によって所有されているファイルへのハードリンクを作成できるようにします。
proc_info – シグナルを送信できるプロセス以外のプロセスのステータスを調査できるようにします。調査できないプロセスは /proc に表示されないため、存在していないように見えます。
proc_session - プロセスのセッションの外部で信号を送信したり、プロセスを監視したりできるようにします。
始める前に
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# usermod -K 'defaultpriv=basic,!file_link_any' user
# usermod -K 'defaultpriv=basic,!proc_info' user
# usermod -K 'defaultpriv=basic,!proc_session' user
# usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user
参照
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 8 章「役割と特権の使用 (概要)」および privileges(5) のマニュアルページを参照してください。