ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
Trusted Extensions で IPv6 CIPSO ネットワークを構成する方法
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions システムをほかの Trusted Extensions システムに接続する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルでリモートホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーがリモートホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次のタスクは、Trusted Extensions システムを必要に応じて構成するのに役立ちます。最後のタスクでは、Trusted Extensions 機能を Oracle Solaris システムから削除できます。
|
セカンダリラベル付きゾーンは、サービスを異なるゾーンに分離し、しかも同じラベルで実行できるようにする場合に役立ちます。詳細は、「プライマリおよびセカンダリラベル付きゾーン」を参照してください。
始める前に
プライマリゾーンが存在する必要があります。セカンダリゾーンは排他的 IP アドレスを持つ必要があり、デスクトップを要求することはできません。
大域ゾーンで root 役割になっている必要があります。
コマンド行またはラベル付きゾーン GUI txzonemgr を使用できます。
# tncfg -z secondary-label-service primary=no # tncfg -z secondary-label-service label=public
# txzonemgr &
新規ゾーンの作成に移動し、プロンプトに従います。
注 - ネットマスクは接頭辞形式で入力する必要があります。たとえば、255.255.254.0 ネットマスクは 23 という接頭辞を必要とします。
# tncfg -z zone info primary primary=no
例 4-6 Public スクリプト用のゾーンの作成
この例では、管理者は、スクリプトとバッチジョブを実行するために設計された Public ゾーンを分離します。
# tncfg -z public-scripts primary=no # tncfg -z public-scripts label=public
マルチレベルのデータセットは、情報をダウングレードまたはアップグレードするときに役立つコンテナです。詳細は、「ファイルのラベル変更に使用されるマルチレベルのデータセット」を参照してください。また、マルチレベルの NFS ファイルサーバーが多数の NFS クライアントにさまざまなラベルでファイルを提供する場合にも、マルチレベルのデータセットが役立ちます。
始める前に
マルチレベルのデータセットを作成するには、大域ゾーンで root 役割になる必要があります。
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
rpool/multi は大域ゾーンの /multi にマウントされたマルチレベルのデータセットです。
データセットのラベル範囲の上限を制限するには、例 4-7 を参照してください。
# getlabel /multi /multi: ADMIN_LOW
プール内のすべてのファイルシステムについて、次の ZFS プロパティーを off に設定します。
# zfs set devices=off rpool/multi # zfs set exec=off rpool/multi # zfs set setuid=off rpool/multi
ZFS では通常、圧縮はファイルシステムのレベルで設定されます。ただし、このプール内のファイルシステムはすべてデータファイルなので、圧縮はプールのトップレベルのデータセットで設定されます。
# zfs set compression=on rpool/multi
『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS の圧縮、複製解除、暗号化のプロパティー間の関連」も参照してください。
# cd /multi # mkdir public internal # chmod 777 public internal # setlabel PUBLIC public # setlabel "CNF : INTERNAL" internal
たとえば、次の一連の zonecfg コマンドは、データセットを public ゾーンにマウントします。
# zonecfg -z public zonecfg:public> add fs zonecfg:public:fs> set dir=/multi zonecfg:public:fs> set special=/multi zonecfg:public:fs> set type=lofs zonecfg:public:fs> end zonecfg:public> exit
マルチレベルのデータセットでは、マウント先ゾーンと同じラベルのファイルの書き込みと、下位レベルのファイルの読み取りが許可されます。マウントされたファイルのラベルは、表示と設定が可能です。
# tncfg -z global add mlp_private=2049/tcp # tncfg -z global add mlp_private=111/udp # tncfg -z global add mlp_private=111/tcp
# svcadm restart nfs/server
# share /multi
NFS でマウントされたマルチレベルのデータセットでは、マウント先ゾーンと同じラベルのファイルの書き込みと、下位レベルのファイルの読み取りが許可されます。マウントされたファイルのラベルは、確実に表示することや設定することはできません。詳細は、「別のシステムのマルチレベルデータセットのマウント」を参照してください。
例 4-7 ADMIN_HIGH より低い最上位のラベルでマルチレベルのデータセットを作成する
この例では、管理者はデフォルトの ADMIN_HIGH より低い上限 (最上位ラベル) で、マルチレベルのデータセットを作成します。データセットの作成時に、管理者はこのラベル上限を mslabel プロパティーで指定します。この上限により、大域ゾーンのプロセスはマルチレベルのデータセット内にファイルやディレクトリを作成できなくなります。ラベル付きゾーンだけが、データセット内にディレクトリやファイルを作成できます。multilevel プロパティーが on なので、mlslabel プロパティーで設定されるのは上限であり、シングルラベルデータセットのラベルではありません。
# zfs create -o mountpoint=/multiIUO -o multilevel=on \ -o mlslabel="CNF : INTERNAL" rpool/multiIUO
次に、管理者は各ラベル付きゾーンにログインし、マウントされたデータセット内にゾーンのラベルでディレクトリを作成します。
# zlogin public # mkdir /multiIUO # chmod 777 /multiIUO # zlogin internal # mkdir /multiIUO # chmod 777 /multiIUO
マルチレベルのデータセットは、マウント先ゾーンのリブート後、承認されたユーザーにそのゾーンのラベルで表示されます。
次の手順
ユーザーがファイルのラベルを変更できるようにするには、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。
ファイルのラベルを変更する手順については、『Trusted Extensions ユーザーズガイド』の「マルチレベルデータセットのデータをアップグレードする方法」および 『Trusted Extensions ユーザーズガイド』の「マルチレベルデータセットのデータをダウングレードする方法」を参照してください。
ポータブルメディアにコピーする場合、情報と同じ機密ラベルをメディアに付けます。
注 - root 役割は Trusted Extensions の構成時に、label_encodings ファイルをすべてのシステムに転送するためにポータブルメディアを使用する可能性があります。このメディアには Trusted Path のラベルを付けます。
始める前に
管理ファイルをコピーするには、大域ゾーンで root 役割になっている必要があります。
デバイスマネージャーを使用し、何も記録されていないメディアを挿入します。詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
ファイルブラウザにそのクリーンメディアの内容が表示されます。
詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
注 - コピーしたファイルの機密ラベルを示した物理的なラベルを、メディアに必ず貼り付けてください。
例 4-8 構成ファイルをすべてのシステムで同一にする
システム管理者は、同じ設定ですべてのシステムを確実に構成しようと思っています。そのためには、最初に構成するシステムで、管理者はリブートによって削除されないディレクトリを作成します。そのディレクトリに、管理者はすべてのシステムで同一のファイルまたはほとんど同じファイルを配置します。
たとえば管理者は、このサイトの policy.conf ファイルや、デフォルトの login および passwd ファイルを変更します。したがって、管理者は次のファイルを永続ディレクトリにコピーします。
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ # cp /etc/default/login \ # cp /etc/default/passwd \ # cp /etc/security/tsol/label_encodings \ /export/commonfiles
管理者はデバイスマネージャーを使用して、大域ゾーンで CD-ROM を割り当て、ファイルを CD に転送し、Trusted Path のラベルを付けます。
ファイルを置き換える前に、元の Trusted Extensions ファイルの名前を変更しておくと安全です。システムを構成する際に、root 役割が管理ファイルの名前の変更およびコピーを行います。
始める前に
管理ファイルをコピーするには、大域ゾーンで root 役割になっている必要があります。
詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
ファイルブラウザに内容が表示されます。
たとえば、元のファイルの名前の後ろに .orig を追加します。
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
Oracle Solaris システムから Trusted Extensions 機能を削除するには、特定の手順を実行する必要があります。
始める前に
大域ゾーンで root 役割になっています。
ポータブルメディアでは、アーカイブされた各ゾーンに、ゾーンの機密ラベルを持つ物理的なステッカーを付けます。
詳細は、『Oracle Solaris 11.1 の管理: Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理』の「非大域ゾーンを削除する方法」を参照してください。
# svcadm disable labeld
さまざまなサービスを Oracle Solaris システム用に構成する必要があります。たとえば、基本的なネットワーキング、ネームサービス、ファイルシステムのマウントなどが挙げられます。