その他の Trusted Extensions 構成タスク

ドキュメントの品質向上のためのご意見をください

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります内容の品質向上と追加コメントのためのアンケートに参加されますか？

次のタスクは、Trusted Extensions システムを必要に応じて構成するのに役立ちます。最後のタスクでは、Trusted Extensions 機能を Oracle Solaris システムから削除できます。

タスク	説明	参照先
サイトのセキュリティーについてユーザーに通知します。	ログイン時にセキュリティーメッセージを表示します。	『Oracle Solaris 11 セキュリティーガイドライン』の「バナーファイルにセキュリティーメッセージを配置する方法」『Oracle Solaris 11 セキュリティーガイドライン』の「セキュリティーメッセージをデスクトップログイン画面に配置する方法」
既存のゾーンと同じラベルで動作するサービスを含めるために、ラベル付きゾーンを作成します。	プライマリゾーンと同じラベルでセカンダリゾーンを作成します。	「セカンダリラベル付きゾーンを作成する方法」
すべてのラベルのディレクトリおよびファイルを保持するデータセットを作成します。	最小限のオーバーヘッドでファイルのラベルを変更できるデータセットを作成し、マウントします。	「マルチレベルのデータセットを作成および共有する方法」
各ラベルでホームディレクトリサーバーを作成します。	ラベルごとに 1 つずつ、複数のホームディレクトリサーバーを作成します。または、マルチレベルのホームディレクトリサーバーを作成します。	「Trusted Extensions でホームディレクトリサーバーを作成する」
役割になれる初期ユーザーを作成します。	役割になったときにシステムの管理を任せるユーザーを作成します。	「Trusted Extensions で役割になれるユーザーを作成する」
Trusted Extensions を削除します。	Trusted Extensions およびすべての信頼できるデータをシステムから削除します。Trusted Extensions なしで Oracle Solaris を実行するためのシステムの準備も行います。	「 Trusted Extensions をシステムから削除する」

セカンダリラベル付きゾーンを作成する方法

セカンダリラベル付きゾーンは、サービスを異なるゾーンに分離し、しかも同じラベルで実行できるようにする場合に役立ちます。詳細は、「プライマリおよびセカンダリラベル付きゾーン」を参照してください。

始める前に

プライマリゾーンが存在する必要があります。セカンダリゾーンは排他的 IP アドレスを持つ必要があり、デスクトップを要求することはできません。

大域ゾーンで root 役割になっている必要があります。

セカンダリゾーンを作成します。
コマンド行またはラベル付きゾーン GUI txzonemgr を使用できます。
- コマンド行を使用します。
```
# tncfg -z secondary-label-service primary=no
# tncfg -z secondary-label-service label=public
```
- txzonemgr を使用します。
```
# txzonemgr &
```
  新規ゾーンの作成に移動し、プロンプトに従います。
  
  注 - ネットマスクは接頭辞形式で入力する必要があります。たとえば、255.255.254.0 ネットマスクは 23 という接頭辞を必要とします。
ゾーンがセカンダリゾーンであることを確認します。
```
# tncfg -z zone info primary
    primary=no
```

例 4-6 Public スクリプト用のゾーンの作成

この例では、管理者は、スクリプトとバッチジョブを実行するために設計された Public ゾーンを分離します。

# tncfg -z public-scripts primary=no
# tncfg -z public-scripts label=public

マルチレベルのデータセットを作成および共有する方法

マルチレベルのデータセットは、情報をダウングレードまたはアップグレードするときに役立つコンテナです。詳細は、「ファイルのラベル変更に使用されるマルチレベルのデータセット」を参照してください。また、マルチレベルの NFS ファイルサーバーが多数の NFS クライアントにさまざまなラベルでファイルを提供する場合にも、マルチレベルのデータセットが役立ちます。

始める前に

マルチレベルのデータセットを作成するには、大域ゾーンで root 役割になる必要があります。

マルチレベルのデータセットを作成します。
```
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
```
rpool/multi は大域ゾーンの /multi にマウントされたマルチレベルのデータセットです。
データセットのラベル範囲の上限を制限するには、例 4-7 を参照してください。
マルチレベルのデータセットがマウントされていることと、そのマウントポイントに ADMIN_LOW ラベルが付いていることを確認します。
```
# getlabel /multi
/multi: ADMIN_LOW
```
親ファイルシステムを保護します。
プール内のすべてのファイルシステムについて、次の ZFS プロパティーを off に設定します。
```
# zfs set devices=off rpool/multi
# zfs set exec=off rpool/multi
# zfs set setuid=off rpool/multi
```
(省略可能) プールの圧縮プロパティーを設定します。
ZFS では通常、圧縮はファイルシステムのレベルで設定されます。ただし、このプール内のファイルシステムはすべてデータファイルなので、圧縮はプールのトップレベルのデータセットで設定されます。
```
# zfs set compression=on rpool/multi
```
『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS の圧縮、複製解除、暗号化のプロパティー間の関連」も参照してください。

マルチレベルのデータセットに含める各レベルの最上位ディレクトリを作成します。

# cd /multi
# mkdir public internal
# chmod 777 public internal
# setlabel PUBLIC public
# setlabel "CNF : INTERNAL" internal

アクセスを承認されている各ラベル付きゾーンに、マルチレベルのデータセットを LOFS でマウントします。
たとえば、次の一連の zonecfg コマンドは、データセットを public ゾーンにマウントします。
```
# zonecfg -z public
zonecfg:public> add fs
zonecfg:public:fs> set dir=/multi
zonecfg:public:fs> set special=/multi
zonecfg:public:fs> set type=lofs
zonecfg:public:fs> end
zonecfg:public> exit
```
マルチレベルのデータセットでは、マウント先ゾーンと同じラベルのファイルの書き込みと、下位レベルのファイルの読み取りが許可されます。マウントされたファイルのラベルは、表示と設定が可能です。
NFS を使用してマルチレベルのデータセットをほかのシステムと共有するには、次のようにします。
1. 大域ゾーンの NFS サービスをマルチレベルサービスにします。
```
# tncfg -z global add mlp_private=2049/tcp
# tncfg -z global add mlp_private=111/udp
# tncfg -z global add mlp_private=111/tcp
```
2. NFS サービスを再起動します。
```
# svcadm restart nfs/server
```
3. マルチレベルのデータセットを共有します。
```
# share /multi
```
NFS でマウントされたマルチレベルのデータセットでは、マウント先ゾーンと同じラベルのファイルの書き込みと、下位レベルのファイルの読み取りが許可されます。マウントされたファイルのラベルは、確実に表示することや設定することはできません。詳細は、「別のシステムのマルチレベルデータセットのマウント」を参照してください。

例 4-7 ADMIN_HIGH より低い最上位のラベルでマルチレベルのデータセットを作成する

この例では、管理者はデフォルトの ADMIN_HIGH より低い上限 (最上位ラベル) で、マルチレベルのデータセットを作成します。データセットの作成時に、管理者はこのラベル上限を mslabel プロパティーで指定します。この上限により、大域ゾーンのプロセスはマルチレベルのデータセット内にファイルやディレクトリを作成できなくなります。ラベル付きゾーンだけが、データセット内にディレクトリやファイルを作成できます。multilevel プロパティーが on なので、mlslabel プロパティーで設定されるのは上限であり、シングルラベルデータセットのラベルではありません。

# zfs create -o mountpoint=/multiIUO -o multilevel=on \
-o mlslabel="CNF : INTERNAL" rpool/multiIUO

次に、管理者は各ラベル付きゾーンにログインし、マウントされたデータセット内にゾーンのラベルでディレクトリを作成します。

# zlogin public 
# mkdir /multiIUO
# chmod 777 /multiIUO
# zlogin internal 
# mkdir /multiIUO
# chmod 777 /multiIUO

マルチレベルのデータセットは、マウント先ゾーンのリブート後、承認されたユーザーにそのゾーンのラベルで表示されます。

次の手順

ユーザーがファイルのラベルを変更できるようにするには、「ラベル付きゾーンからファイルに再ラベル付けできるようにする」を参照してください。

ファイルのラベルを変更する手順については、『Trusted Extensions ユーザーズガイド』の「マルチレベルデータセットのデータをアップグレードする方法」および 『Trusted Extensions ユーザーズガイド』の「マルチレベルデータセットのデータをダウングレードする方法」を参照してください。

Trusted Extensions でファイルをポータブルメディアにコピーする

ポータブルメディアにコピーする場合、情報と同じ機密ラベルをメディアに付けます。

注 - root 役割は Trusted Extensions の構成時に、label_encodings ファイルをすべてのシステムに転送するためにポータブルメディアを使用する可能性があります。このメディアには Trusted Path のラベルを付けます。

始める前に

管理ファイルをコピーするには、大域ゾーンで root 役割になっている必要があります。

適切なデバイスを割り当てます。
デバイスマネージャーを使用し、何も記録されていないメディアを挿入します。詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
ファイルブラウザにそのクリーンメディアの内容が表示されます。
別のファイルブラウザを開きます。
コピーするファイルがあるフォルダに移動します。
各ファイルに対して次を行います。
1. ファイルのアイコンを強調表示します。
2. ポータブルメディアのファイルブラウザにファイルをドラッグします。
デバイスの割り当てを解除します。
詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
ポータブルメディアのファイルブラウザで、「ファイル」メニューから「取り出し」を選択します。
注 - コピーしたファイルの機密ラベルを示した物理的なラベルを、メディアに必ず貼り付けてください。

例 4-8 構成ファイルをすべてのシステムで同一にする

システム管理者は、同じ設定ですべてのシステムを確実に構成しようと思っています。そのためには、最初に構成するシステムで、管理者はリブートによって削除されないディレクトリを作成します。そのディレクトリに、管理者はすべてのシステムで同一のファイルまたはほとんど同じファイルを配置します。

たとえば管理者は、このサイトの policy.conf ファイルや、デフォルトの login および passwd ファイルを変更します。したがって、管理者は次のファイルを永続ディレクトリにコピーします。

# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
# cp  /etc/default/login \
# cp  /etc/default/passwd \
# cp  /etc/security/tsol/label_encodings \
/export/commonfiles

管理者はデバイスマネージャーを使用して、大域ゾーンで CD-ROM を割り当て、ファイルを CD に転送し、Trusted Path のラベルを付けます。

Trusted Extensions でポータブルメディアからファイルをコピーする

ファイルを置き換える前に、元の Trusted Extensions ファイルの名前を変更しておくと安全です。システムを構成する際に、root 役割が管理ファイルの名前の変更およびコピーを行います。

始める前に

管理ファイルをコピーするには、大域ゾーンで root 役割になっている必要があります。

適切なデバイスを割り当てます。
詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」を参照してください。
ファイルブラウザに内容が表示されます。
管理ファイルを含むメディアを挿入します。
システムに同じ名前のファイルがある場合、元のファイルを新しい名前でコピーします。
たとえば、元のファイルの名前の後ろに .orig を追加します。
```
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
```
ファイルブラウザを開きます。
/etc/security/tsol などのコピー先ディレクトリに移動します。
コピーするそれぞれのファイルに対して、次を行います。
1. マウントされたメディアのファイルブラウザで、ファイルのアイコンを強調表示します。
2. 別のファイルブラウザのコピー先ディレクトリにファイルをドラッグします。
デバイスの割り当てを解除します。
詳細は、『Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスの割り当てを解除する」を参照してください。
プロンプトが表示されたら、メディアを取り出します。

Trusted Extensions をシステムから削除する

Oracle Solaris システムから Trusted Extensions 機能を削除するには、特定の手順を実行する必要があります。

始める前に

大域ゾーンで root 役割になっています。

保持する必要のあるラベル付きゾーン内のデータをすべてアーカイブします。
ポータブルメディアでは、アーカイブされた各ゾーンに、ゾーンの機密ラベルを持つ物理的なステッカーを付けます。
システムからラベル付きゾーンを削除します。
詳細は、『Oracle Solaris 11.1 の管理: Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理』の「非大域ゾーンを削除する方法」を参照してください。
Trusted Extensions サービスを無効化します。
```
# svcadm disable labeld
```
(省略可能) システムをリブートします。
システムを構成します。
さまざまなサービスを Oracle Solaris システム用に構成する必要があります。たとえば、基本的なネットワーキング、ネームサービス、ファイルシステムのマウントなどが挙げられます。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語)