ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11.1 Information Library (日本語) |
インストール後に Oracle Solaris は、数あるセキュリティー機能の中でも特に、システムを侵入から保護し、ログイン試行をモニターします。
初期ユーザーおよび root 役割アカウント - 初期ユーザーアカウントはコンソールからログインできます。このアカウントには root 役割が割り当てられます。初期状態では、2 つのアカウントのパスワードが同じです。
ログイン後に、初期ユーザーはシステムを追加構成するために root 役割を引き受けることができます。役割を引き受けると、ユーザーは root パスワードを変更するように要求されます。役割 (root 役割を含む) は直接ログインできないことに注意してください。
初期ユーザーには、/etc/security/policy.conf ファイルからデフォルト値が割り当てられます。デフォルト値には、基本 Solaris ユーザー権利プロファイルおよびコンソールユーザー権利プロファイルが含まれています。これらの権利プロファイルによって、ユーザーはコンソールの前に座ったときに、CD または DVD への読み取りと書き込みを行なったり、特権なしでシステムでコマンドを実行したり、システムを停止して再起動したりできます。
初期ユーザーアカウントには、システム管理者権利プロファイルも割り当てられています。したがって、初期ユーザーは root 役割を引き受けなくても、ソフトウェアをインストールする権限やネームサービスを管理する権限などの管理者権限を持っています。
パスワード要件 – ユーザーのパスワードは 6 文字以上の長さで、2 文字以上の英字と 1 文字以上の英字以外の文字が含まれる必要があります。パスワードは、SHA256 アルゴリズムを使用してハッシュ化されます。パスワードを変更したら、root 役割を含むすべてのユーザーがパスワード要件に準拠する必要があります。
制限付きのネットワークアクセス – インストール後に、システムはネットワーク経由の侵入者から保護されます。初期ユーザーによるリモートログインは、ssh プロトコルで認証、暗号化された接続経由で許可されます。これは、受信パケットを許可する唯一のネットワークプロトコルです。ssh キーは、AES128 アルゴリズムによってラップされます。暗号化および認証を適切に行うと、ユーザーは傍受、変更、またはなりすましを受けることなくシステムに到達できます。
記録されたログイン試行 - すべてのログイン/ログアウトイベント (ログイン、ログアウト、ユーザーの切り替え、ssh セッションの起動と停止、画面のロック) およびすべての非限定的な (失敗した) ログインで、監査サービスが有効になっています。root 役割はログインできないため、root として動作するユーザーの名前は、監査証跡で追跡できません。初期ユーザーは、システム管理者権利プロファイルから付与された権限で監査ログをレビューできます。
初期ユーザーがログインすると、カーネル、ファイルシステム、およびデスクトップアプリケーションが最小特権、アクセス権、および役割に基づくアクセス制御 (RBAC) によって保護されます。
カーネルの保護 - 多くのデーモンおよび管理コマンドには、これらを正常に実行できる特権のみが割り当てられています。多くのデーモンは、root (UID=0) 特権を持たない特別な管理者アカウントから実行されるため、その他のタスクを実行するためにハイジャックできません。このような特別な管理者アカウントはログインできません。デバイスは特権によって保護されます。
ファイルシステム - デフォルトでは、すべてファイルシステムが ZFS ファイルシステムです。ユーザーの umask が 022 であるため、ユーザーが新規ファイルまたはディレクトリを作成すると、そのユーザーのみが変更を許可されます。ユーザーグループのメンバーは、ディレクトリの読み取りと検索、およびファイルの読み取りが許可されます。ユーザーグループ外部でのログインでは、ディレクトリを一覧表示し、ファイルを読み取ることができます。ディレクトリアクセス権は drwxr-xr-x (755) です。ファイルアクセス権は -rw-r--r-- (644) です。
デスクトップアプレット – デスクトップアプレットは RBAC によって保護されます。たとえば、初期ユーザーまたは root 役割のみが、パッケージマネージャーアプレットを使用して新規パッケージをインストールできます。パッケージマネージャーは、使用する権限を割り当てられていない標準ユーザーには表示されません。
Oracle Solaris 11 は、サイトのセキュリティー要件を満たすようにシステムおよびユーザーを構成する際に使用できるセキュリティー機能を提供します。
役割に基づくアクセス制御 (RBAC) – Oracle Solaris には、数多くの承認、特権、および権利プロファイルがあります。root は唯一の定義された役割です。権利プロファイルは、作成された役割の基礎となります。また、一部の管理コマンドでは、RBAC 承認を正常に実行する必要があります。承認なしのユーザーは、必須の特権を持っていてもコマンドを実行できません。
ユーザー権限 – 「システムアクセスの制限とモニター」で説明した初期ユーザーと同様に、ユーザーには特権、権利プロファイル、および承認の基本セットが /etc/security/policy.conf ファイルから割り当てられます。ユーザーのログイン試行は制限されていませんが、すべての失敗ログインのログが監査サービスによって記録されます。
システムファイルの保護 – システムファイルはファイルアクセス権によって保護されます。root 役割のみがシステム構成ファイルを変更できます。