ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions システムをほかの Trusted Extensions システムに接続する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions の役割が機能することを確認する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルでリモートホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーがリモートホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions の構成をカスタマイズするには、次のタスクマップの手順を実行します。デフォルトの構成をインストールするには、「ラベル付きゾーンの作成」に進みます。
|
エンコーディングファイルは、通信する相手の Trusted Extensions ホストと互換性がなければなりません。
注 - Trusted Extensions はデフォルトの label_encodings ファイルをインストールします。このデフォルトファイルは、デモンストレーションとして便利です。ただし、実際の使用に適しているとは限りません。デフォルトファイルを使用する場合、この手順は省略できます。
エンコーディングファイルに慣れている場合、次に示す手順を使用します。
エンコーディングファイルに慣れていない場合、要件、手順、および例について『Trusted Extensions Label Administration』を参照してください。
注意 - 続行する前に、ラベルを正しくインストールしてください。正しくインストールしていないと構成できません。 |
始める前に
セキュリティー管理者です。セキュリティー管理者は、label_encodings ファイルの編集、検査、および保守を担当します。label_encodings ファイルを編集する場合、ファイルが書き込み可能であることを確認してください。詳細は、label_encodings(4) のマニュアルページを参照してください。
label_encodings ファイルを編集するには、root 役割になる必要があります。
ポータブルメディアからコピーするには、「Trusted Extensions でポータブルメディアからファイルをコピーする」を参照してください。
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file
コマンドによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として、『Trusted Extensions Label Administration』の第 3 章「Creating a Label Encodings File (Tasks)」を参照してください。
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings
注意 - 続行するには、label_encodings ファイルがエンコーディングの検査テストに合格しなければなりません。 |
例 4-1 コマンド行での label_encodings 構文の検査
この例では、管理者がコマンド行を使用していくつかの label_encodings ファイルをテストします。
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2
業務管理で label_encodings2 ファイルを使用することを決めたら、管理者はファイルの意味解析を実行します。
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ...
管理者は自分の記録用に意味解析のコピーを出力したのち、このファイルを /etc/security/tsol ディレクトリに移動します。
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.10 label_encodings
最後に、管理者は label_encodings ファイルが会社ファイルであることを確認します。
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010
次の手順
ラベル付きゾーンを作成する前にシステムをリブートする必要があります。
IPv6 の場合、Trusted Extensions はセキュリティーラベル付けプロトコルとして CALIPSO (Common Architecture Label IPv6 Security Option) を使用します。構成は不要です。廃止された Trusted Extensions IPv6 CIPSO プロトコルを実行しているシステムと通信する必要がある場合は、この手順を実行します。ほかの CALIPSO システムと通信する場合は、この手順を実行しないでください。
注意 - IPv6 CALIPSO プロトコルを使用するシステムは、廃止された TX IPv6 CIPSO プロトコルを使用するシステムとは通信できません。これは、これらのプロトコルには互換性がないためです。 |
廃止された Trusted Extensions IPv6 CIPSO のオプションには、パケットの「IPv6 Option Type」フィールドに使用する IANA (Internet Assigned Numbers Authority) 番号がありません。この手順で設定するエントリは、ローカルネットワーク上で使用する番号を指定します。
始める前に
廃止された占有の Trusted Extensions IPv6 CIPSO セキュリティーラベル付けオプションを使用するシステムと通信する必要がある場合は、この手順を実行します。
大域ゾーンで root 役割になっています。
set ip:ip6opt_ls = 0x0a
注意事項
ブート中に IPv6 CIPSO の構成が正しくないことを示すエラーメッセージが表示されたら、エントリを修正します。たとえば、エントリのスペルが間違っている場合は、次のメッセージが表示されます: 「sorry, variable 'ip6opt_1d' is not defined in the 'ip' module. Verify that the entry is spelled correctly」。
エントリを修正します。
/etc/system ファイルに正しいエントリを追加したあとにシステムがリブートされたことを確認します。
次の手順
ラベル付きゾーンを作成する前にシステムをリブートする必要があります。
サイトで 1 の解釈ドメイン (DOI) が使用されない場合は、すべての セキュリティーテンプレートで doi 値を変更する必要があります。詳細は、「セキュリティーテンプレートの解釈のドメイン」を参照してください。
始める前に
大域ゾーンで root 役割になっています。
# tncfg -t cipso set doi=n # tncfg -t admin_low set doi=n
注 - すべてのセキュリティーテンプレートで DOI 値を指定する必要があります。
参照
次の手順
LDAP を使用する予定の場合は、第 5 章Trusted Extensions のための LDAP の構成 (タスク)に進みます。ラベル付きゾーンを作成する前に LDAP を構成する必要があります。
それ以外の場合は、「ラベル付きゾーンの作成」に進みます。