Trusted Extensions でのデバイスの管理 (タスクマップ)

次のタスクマップでは、サイトのデバイスを保護する手順について説明します。

Trusted Extensions でデバイスを構成する

デフォルトで割り当て可能なデバイスは、ラベル範囲が ADMIN_LOW から ADMIN_HIGH であり、使用するには割り当てられる必要があります。また、ユーザーはデバイス割り当てを承認されている必要があります。これらのデフォルトは変更可能です。

使用するために割り当て可能なデバイスは次のとおりです。

• audion – マイクロフォンとスピーカーを表します

• cdromn – CD-ROM ドライブを表します

• floppyn – フロッピーディスクドライブを表します

• mag_tapen – テープドライブ (ストリーマテープドライブ) を表します

• rmdiskn – JAZ ドライブや ZIP ドライブなどのリムーバブルディスク、または USB ホットプラグ対応メディアを表します

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. 「トラステッドパス」メニューから「デバイスの割り当て」を選択します。

   デバイス割り当てマネージャーが表示されます。

   
   
2. デフォルトのセキュリティー設定を表示します。

   「デバイス管理」をクリックして、デバイスを強調表示します。次の図は、root 役割が表示しているオーディオデバイスを示したものです。

   
   
3. (省略可能) デバイスのラベル範囲を制限します。
   1. 最小ラベルを設定します。

      「最小ラベル」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。

   2. 最大ラベルを設定します。

      「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。

4. デバイスがローカルに割り当て可能かどうかを指定します。

   「トラステッドパスからの割り当て」の「デバイス割り当て構成」ダイアログボックスで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「承認されたユーザー」オプションがチェックされています。したがって、デバイスは割り当て可能であり、ユーザーは承認が必要です。

   • デバイスを割り当て不可にするには、「なし」をクリックします。

     プリンタ、フレームバッファーなど、割り当て可能にしてはいけないデバイスを構成する場合は、「なし」を選択します。

   • デバイスを割り当て可能だが承認不要にするには、「すべてのユーザー」をクリックします。
5. デバイスがリモートで割り当て可能かどうかを指定します。

   「信頼できないパスからの割り当て」セクションで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「トラステッドパスと同じ」オプションがチェックされています。

   • ユーザー承認を必要にするには、「承認されたユーザーによって割り当て可能」を選択します。
   • リモートユーザーによる割り当てを不可にするには、「なし」を選択します。
   • 任意のユーザーがデバイスを割り当てできるようにするには、「すべてのユーザー」を選択します。
6. デバイスが割り当て可能であり、かつサイトで新しいデバイス承認を作成してある場合、適切な承認を選択します。

   次のダイアログボックスは、cdrom0 デバイスを割り当てるために solaris.device.allocate 承認が必要であることを示しています。

   
   

   サイト固有のデバイス承認の作成と使用法については、「Trusted Extensions でのデバイス承認のカスタマイズ (タスクマップ) 」を参照してください。

7. 「了解」をクリックして変更を保存します。

Trusted Extensions でデバイスを解除または再利用する

デバイスがデバイス割り当てマネージャーに表示されていない場合、すでに割り当てられているか、割り当てエラー状態である可能性があります。システム管理者は、利用できるようにデバイスを回復できます。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。この役割には、solaris.device.revoke 承認が含まれています。

1. 「トラステッドパス」メニューから「デバイスの割り当て」を選択します。

   次の図では、オーディオデバイスがすでにユーザーに割り当てられています。

   
   
2. 「デバイス管理」ボタンをクリックします。
3. デバイスのステータスをチェックします。

   デバイス名を選択し、「状態」フィールドを確認します。

   • 「状態」フィールドが「割り当てエラーの状態」の場合は、「再利用」ボタンをクリックします。
   • 「状態」フィールドが「割り当て済み」の場合は、次のいずれかを行います。
     • 「所有者」フィールドのユーザーに、デバイスの割り当て解除を依頼する。
     • 「解除」ボタンを押して、デバイスを強制的に割り当て解除する。
4. デバイス割り当てマネージャーを閉じます。

Trusted Extensions で割り当て不可のデバイスを保護する

「デバイス割り当て: 構成」ダイアログボックスの「割り当てを行えるユーザー」セクションの「なし」オプションは、フレームバッファーとプリンタでもっとも頻繁に使用されます。これらのデバイスは割り当てせずに利用できるからです。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. 「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
2. デバイス割り当てマネージャーで、「デバイス管理」ボタンをクリックします。
3. 新しいプリンタまたはフレームバッファーを選択します。
   1. デバイスを割り当て不可にするには、「なし」をクリックします。
   2. (省略可能) デバイスのラベル範囲を制限します。
      1. 最小ラベルを設定します。

         「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。

      2. 最大ラベルを設定します。

         「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。

例 17-1 オーディオデバイスのリモート割り当ての禁止

「割り当てを行えるユーザー」セクションの「なし」オプションを使用すると、リモートユーザーはリモートシステム周辺の会話を聞くことができません。

セキュリティー管理者は、デバイス割り当てマネージャーで次のようにオーディオデバイスを構成します。

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate

Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

ログイン用のシリアル回線を構成する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. ファイルの有効範囲で Solaris 管理コンソールを開きます。
   

   図 17-1 Solaris 管理コンソールのシリアルポートツール

   
2. 「デバイスおよびハードウェア」で、「シリアルポート」にナビゲートします。

   求められたらパスワードを入力します。 オンラインヘルプに従って、シリアルポートを構成します。

3. デフォルトのラベル範囲を変更するには、デバイス割り当てマネージャーを開きます。

   デフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。

例 17-2 シリアルポートのラベル範囲の制限

シリアルログインデバイスを作成後、セキュリティー管理者はシリアルポートのラベル範囲を単一のラベル Public に制限します。管理者は、「デバイス管理」ダイアログボックスで次の値を設定します。

Device Name: /dev/term/[a|b]
Device Type: tty
Clean Program: /bin/true
Device Map: /dev/term/[a|b]
Minimum Label: Public
Maximum Label: Public
Allocatable By: No Users

Trusted CDE でオーディオプレイヤプログラムを使用できるように構成する

次の手順では、ユーザーが音楽 CD を挿入したときオーディオプレイヤがTrusted CDE ワークスペースで自動的に開くようにします。ユーザーの手順については、『Trusted Extensions User’s Guide』の「How to Allocate a Device in Trusted Extensions」の例を参照してください。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

1. /etc/rmmount.conf ファイルを編集します。

   トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

2. サイトの CD プレイヤプログラムを、ファイルの cdrom アクションに追加します。

   action media action_program.so path-to-program

例 17-3 オーディオプレイヤプログラムを使用できるように構成

次の例でシステム管理者は、システムのユーザーすべてが workman プログラムを使えるようにします。workman プログラムは、オーディオプレイヤプログラムです。

# /etc/rmmount.conf file
action cdrom action_workman.so /usr/local/bin/workman

デバイスの割り当て後にファイルマネージャーが表示されないようにする

デフォルトでは、デバイスをマウントすると、ファイルマネージャーが表示されます。ファイルシステムのあるデバイスをマウントしない場合、ファイルマネージャーを表示されないようにすることができます。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。

1. /etc/rmmount.conf ファイルを編集します。

   トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

2. 次の filemgr アクションを探します。

   action cdrom action_filemgr.so
   action floppy action_filemgr.so

3. 適切なアクションをコメントアウトします。

   次の例は、cdrom デバイスと diskette デバイスの両方で action_filemgr.so アクションをコメントアウトしています。

   # action cdrom action_filemgr.so
   # action floppy action_filemgr.so

   CD-ROM またはフロッピーディスクを割り当てた場合、ファイルマネージャーは表示されません。

Trusted Extensions で Device_Clean スクリプトを追加する

デバイスの作成時に device_clean スクリプトが指定されていない場合、デフォルトスクリプトの /bin/true が使用されます。

始める前に

使用可能なデータをすべて物理デバイスから削除し、成功の場合は 0 を返すスクリプトを用意します。リムーバブルメディアを使用するデバイスの場合、メディアの取り出しをユーザーが行わないと、代わりにスクリプトが試行します。メディアが取り出されない場合、スクリプトによってデバイスは割り当てエラー状態になります。要件については、device_clean(5) のマニュアルページを参照してください。

大域ゾーンで root 役割になっている必要があります。

1. スクリプトを /etc/security/lib ディレクトリにコピーします。
2. 「デバイス管理」ダイアログボックスで、スクリプトへのフルパスを指定します。
   1. デバイス割り当てマネージャーを開きます。
   2. 「デバイス管理」ボタンをクリックします。
   3. デバイスの名前を選択し、「構成」ボタンをクリックします。
   4. 「clean プログラム」フィールドに、スクリプトへのフルパスを入力します。
3. 変更を保存します。