Solaris Security Toolkit 4.2 ご使用にあたって
| |
Solaris Security Toolkit 4.2 ご使用にあたって
|
本書では、JASS (JumpStart Architecture and Security Scripts) とも呼ばれる Solaris Security Toolkit ソフトウェア 4.2 リリースのリリース情報として、次の項目について説明します。
- Solaris Security Toolkit 4.2 リリースの変更点
- Solaris 10 OS サポートの詳細
- サポートされるハードウェアシステム
- サポートされる Solaris OS のバージョン
- サポートされる SMS のバージョン
- Solaris Security Toolkit 4.2 で既知の制限事項
- 一般的な問題
- Solaris Security Toolkit 4.2 ソフトウェアのバグ
- Solaris Security Toolkit 4.2 ソフトウェアに影響するバグ
Solaris Security Toolkit 4.2 リリースの変更点
リリース情報のこの節では、Solaris Security Toolkit 4.2 ソフトウェアリリースに対して加えられた主な変更点を説明します。これらの変更点の詳細については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』を参照してください。
注 - Solaris Security Toolkit ソフトウェアの以前のリリースで Documentation ディレクトリにあった CHANGES ファイルは、このリリースでは、なくなりました。その代わり、変更点は本書に記載されています。
|
Solaris 10 OS サポートの変更点
この Solaris Security Toolkit 4.2 ソフトウェアリリースは Solaris 10 オペレーティングシステム (OS) をサポートしています。
Solaris Security Toolkit 4.2 ソフトウェアを使用すると、以前のバージョンと同じような方法でシステムのセキュリティーの強化および監査ができます。また、このリリースのソフトウェアは以前のバージョンと同じように、JumpStart モードとスタンドアロンモードのいずれかで使用できます。
Solaris 10 OS をサポートするためにこのリリースに加えられた主要な変更点を次に示します。詳細は、「Solaris 10 OS サポートの詳細」を参照してください。
- SMF 対応サービス - 多くの Solaris Security Toolkit スクリプトで、サービス管理機能 (SMF) サービスインタフェース、障害管理リソース識別子 (FMRI)、および起動/停止スクリプトを使用できるようにします。
- レガシーサービス - SMF で、SMF 対応ではない Solaris Security Toolkit スクリプトの一部をレガシーサービスとして認識できるようにします。
- ゾーン - Solaris 10 OS のゾーンを強化および監査できるようにします。
- TCP ラッパー - Solaris Security Toolkit ドライバ用の Transmission Control Protocol (TCP) ラッパー構成を提供します。
- MD5 - digest -a md5 コマンドを通じて Solaris 10 OS の message_digest 5 (md5) アルゴリズム機能をサポートします。これにより、Solaris 10 OS システムでは SUNBEmd5 パッケージが不要になります。
- ルーティングの管理 - Solaris 10 OS においてルーティングを管理するための新しいスクリプトを提供します。
- 新しいホームルートディレクトリ - ルートディレクトリ用に、標準的な / の代わりに、新しいホームルートディレクトリ /root を提供します。
- IP フィルタ - フリーウェアのインターネットプロトコル (IP) フィルタを統合することにより、統合されたファイアウォール機能を提供します。
- BART - 基本監査報告機能 (BART) をサポートします。これにより、数ある機能の中でも特にシステム上で発生したファイルレベルの変更を判別できるようになります。
- 柔軟性のある Crypt - パスワード暗号化に使用されるアルゴリズムを制御する Solaris 10 OS のいくつかの新しいチューニング可能パラメータの使用をサポートします。
- アカウントのロック - 事前に定義された回数のログイン試行が失敗したあと、Solaris 10 OS がアカウントをロックする機能をサポートします。
- パラメータ化されたパスワードチェック - Solaris 10 OS の厳密なパスワードチェックをサポートします。
- パスワード履歴 - Solaris 10 OS に追加されたパスワード安全性チェックをサポートします。
- RPC BIND - Remote Procedure Call from the Berkeley Internet Name Domain (rpcbind) の無効化/有効化をサポートします。
- Perl - Solaris 10 OS とともに使用する、Practical Extraction and Report Language (Perl) での Solaris Security Toolkit スクリプトの作成をサポートします。
- XFS - X Font Server の無効化/有効化をサポートします。XFS クライアントはフォントセットを要求するためにサーバーに接続し、サーバーはディスクからフォントファイルを読み取り、クライアントに提供します。X Font Server デーモンは SMF により管理されます。
- GNOME - 共通デスクトップ環境 (CDE) と同じように、GNU Network Object Model Environment (GNOME) の無効化/有効化をサポートします。
一般的な変更点
Solaris 10 OS をサポートするためにこのリリースに対して加えられた変更以外にも、このリリースに対しては次の一般的な変更が加えられています。
- 再配置可能なパッケージ - 再配置可能な Solaris Security Toolkit 4.2 パッケージを提供することにより、pkgadd コマンドで正しいオプションを使用して、希望するどのディレクトリにでもパッケージをインストールできます。
- バックアップファイルの削除 - Solaris Security Toolkit バックアップファイルを削除することができます。
- ドライバ機能の結合 - desktop-{secure|config|hardening}.driver、sunfire_15k_domain-{secure|config|hardening}.driver、および jumpstart-{secure|config|hardening}.driver の機能が server-{secure|config|hardening}.driver に組み込まれています。
- インテリジェントデフォルト - インテリジェントデフォルト、つまり可能な場合ユーザーが Return キーを押してデフォルトを指定できる機能をサポートしています。
- 詳細レベル - jass-execute および jass-check-sum コマンドで詳細レベルを下げた出力をサポートしています。
- IIim - Solaris OS ソフトウェアのアジア諸言語入力を処理する Internet-Intranet Input Method (IIim) の無効化/有効化をサポートします。
- 一貫性のある戻り値とヘルプ出力 - すべての Solaris Security Toolkit コマンドに対する、一貫性のある戻り値とヘルプ出力を提供します。
- Apache 2 - apache2 をサポートします。
Solaris 10 OS サポートの詳細
次の節には、このリリースにおける Solaris 10 OS サポートの変更点の詳細が記載されています。
Solaris Security Toolkit 4.2 リリース用の新しいフレームワーク関数
次の関数はこのリリースで新しく追加されたもので、Solaris 10 OS が動作するシステムでのみ使用できます。これらの関数は、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 2 章で説明されています。
Solaris Security Toolkit 4.2 ソフトウェアには、次の共通ログ関数が追加されました。
- logNotGlobalZone
- logScore
- logScriptFailure
- logServiceDisabled と logServiceEnabled
- logServiceInstalled と logServiceNotInstalled
- logServiceOptionDisabled と logServiceOptionEnabled
- logServiceProcessList
- logServicePropDisabled と logServicePropEnabled
- logServiceRunning と logServiceNotRunning
- logUserLocked と logUserNotlocked
- logUndoBackupWarning
Solaris Security 4.2 ソフトウェアには、次のさまざまな共通関数が追加されました。
- get_driver_report
- get_lists_conjunction
- get_lists_disjunction
Solaris Security Toolkit 4.2 フレームワークで SMF をサポートするために、次のパブリックドライバ関数が作成されました。
- add_option_to_ftpd_property
- change_group
- change_mode
- change_owner
- check_serviceDisabled
- check_serviceEnabled
- check_serviceInstalled
- check_serviceNotInstalled
- check_serviceNotRunning
- check_serviceOptionEnabled
- check_servicePropDisabled
- check_serviceRunning
- check_serviceOptionDisabled
- check_userLocked
- check_userNotLocked
- convert_inetd_service_to_fmri
- disable_service
- enable_service
- is_service_enabled
- is_service_installed
- is_service_running
- is_user-account_extant
- is_user_account_locked
- is_user_account_login_not_set
- lock_user_account
- make_link
- set_service_property_value
- set_stored_keyword_val
- unlock_user_account
- update_inetcon_in_upgrade
Solaris Security Toolkit 4.2 リリース用の新しいスクリプト
次に、Solaris Security Toolkit 4.2 リリース用の新しい終了スクリプトおよび監査スクリプトを示します。終了 (.fin) スクリプトの機能は、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 5 章で説明されています。監査 (.aud) スクリプトの機能は、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 6 章で説明されています。
- disable-apache2.{fin|aud}
- disable-appserv.{fin|aud}
- disable-IIim.{fin|aud}
- disable-routing.{fin|aud}
- enable-account-lockout.{fin|aud}
- enable-bart.{fin|aud}
- enable-ipfilter.{fin|aud}
- enable-password-history.{fin|aud}
- set-root-home-dir.{fin|aud}
- set-strict-password-checks.{fin|aud}
Solaris 10 OS では使用されないスクリプト
表 1 に、Solaris 10 OS を強化する際には使用しない Solaris Security Toolkit スクリプトの一覧を示します。
表 1 Solaris 10 OS では使用されない Solaris Security Toolkit スクリプト
スクリプト名
|
適用可能なオペレーティングシステム
|
disable-ab2
|
Solaris 2.5.1 〜 8
|
disable-aspp
|
Solaris 2.5.1 〜 8
|
disable-picld
|
Solaris 8 および 9
|
install-fix-modes
|
Solaris 2.5.1 〜 9
|
install-newaliases
|
Solaris 2.5.1 〜 8
|
install-openssh
|
Solaris 2.5.1 〜 8
|
install-sadmind-options
|
Solaris 2.5.1 〜 9
|
install-strong-permissions
|
Solaris 2.5.1 〜 9
|
remove-unneeded-accounts
|
Solaris 2.5.1 〜 9
|
Solaris Security Toolkit 4.2 リリース用の新しい環境変数
この節では、このリリースで新しく追加され、Solaris 10 OS が動作するシステムでのみ使用できる、フレームワークおよびスクリプト動作環境変数の一覧を示します。環境変数の機能については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 7 章で説明されています。
新しいフレームワーク変数
- JASS_DISPLAY_HOST_LENGTH
- JASS_DISPLAY_SCRIPT_LENGTH
- JASS_DISPLAY_TIME_LENGTH
- JASS_FILE_COPY_KEYWORD
- JASS_ROOT_HOME_DIR
- JASS_RUN_CLEAN_LOG
- JASS_RUN_VALUES
- JASS_SAVED_BACKUP
- JASS_SCRIPT
- JASS_SCRIPT_FAIL_LOG
- JASS_SCRIPT_NOTE_LOG
- JASS_SCRIPT_WARN_LOG
- JASS_UNDO_TYPE
新しいスクリプト動作変数
- JASS_CRYPT_ALGORITHMS_ALLOW
- JASS_CRYPT_ALGORITHMS_DEFAULT
- JASS_CRYPT_DEFAULT
- JASS_CRYPT_FORCE_EXPIRE
- JASS_PASS_DICTIONLIST
- JASS_PASS_DICTIONDBDIR
- JASS_PASS_HISTORY
- JASS_PASS_MAX_REPEATS
- JASS_PASS_MIN_ALPHA
- JASS_PASS_MINDIFF
- JASS_PASS_MINDIGIT
- JASS_PASS_MINLOWER
- JASS_PASS_MINNONALPHA
- JASS_PASS_MINSPECIAL
- JASS_PASS_MINUPPER
- JASS_PASS_NAMECHECK
- JASS_PASS_WHITESPACE
- JASS_ZONE_NAME
Solaris 10 OS では使用されない環境変数
次の環境変数は、Solaris 10 OS では使用されません。
- JASS_ISA_CAPABILITY (Solaris Security Toolkit 4.2 ソフトウェアから削除)
- JASS_DISABLE_MODE
Solaris Security Toolkit 4.2 リリースから削除された機能
次の機能に関連するファイルとスクリプトは、不要となったため、Solaris Security Toolkit 4.2 ソフトウェアから削除されました。
- Sun Fire ハイエンドシステムのドメインへの misc/klmmod カーネルモジュールのインストール
- Sun ONE Web Server のインストール
- sunfire_mf_msp-{secure|config|hardening}.driver
- 32 ビット機能
- Sun Enterprise 1000 (Starfire) (製品のサポート中止による)
自動的に無効化される rpcbind
Solaris Security Toolkit 4.2 ソフトウェアの secure.driver および sunfire-15k_sc-secure.driver は、以前のバージョンのツールキットと同様に rpcbind を無効にしました。しかし、Solaris 10 OS には、ネットワーク情報サービス (NIS) やネットワークファイルシステム (NFS) など rpcbind に依存するサービス、および共通デスクトップ環境 (CDE) や GNU Network Object Model Environment (GNOME) などのウィンドウマネージャがあります。デフォルトでは、secure.driver および sunfire-15k_sc-secure.driver の構成ではこれらのサービスが無効になるため、これらのサービスを使用するには rpcbind を有効にする必要があります。
注 - server-secure.driver および suncluster3x-secure.driver は rpcbind を無効にしません。
|
rpcbind を有効にする
|
1. システムの強化を解除します。
2. secure.driver と hardening.driver を、それぞれ new-secure.driver と new-hardening.driver にコピーして名前を変更します。new-secure.driver は、新しくカスタマイズされた secure.driver に対してユーザーが選択した名前で、new-hardening.driver は、新しくカスタマイズされた hardening.driver に対してユーザーが選択した名前です。
3. new-secure.driver を編集して、hardening.driver への参照を new-hardening.driver に置き換えます。
4. new-hardening.driver から disable-rpc.fin スクリプトをコメントアウトします。
5. new-secure.driver とともに Solaris Security Toolkit を実行することにより、カスタマイズされたコピードライバを使用して、強化を再度実行します。
6. システムを再起動します。
|
注意 - rpcbindサービスを有効にしたあと、追加のサービスが自動的に起動し、それに対応するポートが開く場合があります。Solaris Security Toolkit の監査は、これらの追加サービスを障害として警告します。
|
サポートされるハードウェアシステム
Solaris Security Toolkit 4.2 ソフトウェアは、SPARC® (64 ビットのみ)、および x86 システムをサポートしています。
サポートされる Solaris OS のバージョン
Sun では、Solaris Security Toolkit ソフトウェアを Solaris 8、Solaris 9、および Solaris 10 オペレーティングシステムで使用する場合にのみサポートを提供しています。
注 - Solaris Security Toolkit 4.2 ソフトウェアの場合、Solaris 10 を使用できるのは Sun Fire ハイエンドドメイン上だけであり、システムコントローラ (SC) 上では使用できません。
|
Solaris Security Toolkit ソフトウェアは Solaris 2.5.1、Solaris 2.6、および Solaris 7 オペレーティングシステムで使用することもできますが、これらのオペレーティングシステムで使用する場合、Sun ではサポートを提供していません。
Solaris Security Toolkit ソフトウェアは、インストールされている Solaris オペレーティングシステムのバージョンを自動的に検出し、そのバージョンに合わせて適切なタスクを実行します。
本書全体の例では、スクリプトが OS のバージョンをチェックする場合、スクリプトは、Solaris OS のバージョンである 2.x、7、8、9、または 10 ではなく、SunOS のバージョンである 5.x をチェックします。表 2 に、SunOS と Solaris OS のバージョンの相関関係を示します。
表 2 SunOS と Solaris OS のバージョンの相関関係
SunOS のバージョン
|
Solaris OS のバージョン
|
5.5.1
|
2.5.1
|
5.6
|
2.6
|
5.7
|
7
|
5.8
|
8
|
5.9
|
9
|
5.10
|
10
|
サポートされる SMS のバージョン
System Management Services (SMS) を使用して Sun Fire ハイエンドシステム上のシステムコントローラ (SC) を稼動させている場合は、すべての Solaris 8 および Solaris 9 OS バージョンで SMS バージョン 1.4、1.4.1、および 1.5 と Solaris Security Toolkit 4.2 ソフトウェアの併用がサポートされます。Solaris 10 OS 上で Solaris Security Toolkit 4.2 ソフトウェアによりサポートされる SMS のバージョンはありません。
注 - Solaris Security Toolkit 4.2 ソフトウェアに関しては、Solaris 10 OS はドメインでのみ使用可能で、システムコントローラ (SC) では使用できません。
|
Solaris Security Toolkit 4.2 で既知の制限事項
この節では、Solaris Security Toolkit 4.2 ソフトウェアの既知の制限事項について説明します。
- Solaris Security Toolkit 4.2 ソフトウェアは、システムアカウントを無効にしても機能は維持されますが (終了スクリプト disable-system-accounts.fin を参照)、無効になったアカウントに対して試みられたログインを記録するようにシステムを変更することはできません。
一般的な問題
この節では、Solaris Security Toolkit 4.2 ソフトウェアに関連する一般的な問題について説明します。
パッケージ形式でのみ配布されるリリース
Solaris Security Toolkit 4.2 リリースはパッケージ形式でのみ配布されます。
SUNWjass および JASScustm パッケージが再配置可能になる
Solaris Security Toolkit 4.2 のリリースでは、SUNWjass および JASScustm パッケージが再配置可能になり、Sun のパッケージ標準と整合性が取られるようになりました。pkgadd(1M) -R コマンドを使用して、これらのパッケージを再配置できます。
Solaris Security Toolkit と CTRL-C キー操作
Solaris Security Toolkit によるセキュリティー強化操作と undo 操作中に CTRL-C キー操作を行うと、システムが矛盾した状態になる可能性があります。本来ならば、セキュリティー強化操作を中断するのではなく、セキュリティー強化操作が完了してから、次に undo 操作が実行されなければなりません。CTRL-C キー操作は、エラー処理や、ツールキットによる処理の中断に使用しないでください。セキュリティー強化操作や undo 操作は、前の操作が完全に終了してから再実行してください。
Solaris Security Toolkit 4.2 ソフトウェアのバグ
この節では、発生する可能性のあるバグについて説明します。これらのバグは Solaris Security Toolkit 4.2 ソフトウェアではまだ修正されていません。
NIS を使用しているときに、再起動を複数回行うと監査エラーが生じる場合がある (Bug ID 6222181)
デフォルトで、secure.driver では rpcbind が無効になっています。NIS を使用している場合、システムを再起動すると、inetd により正常に起動されたすべてのサービスが非初期化状態のままになり、レガシーサービスが機能しないことがあります。これにより、Solaris Security Toolkit では、inetd によって起動されたサービスにおいて、再起動の前後で監査結果の不一致が生じます。
このバグは、Solaris 10 OS の Bug ID 6223370 により修正される予定です。このバグの詳細については、「Solaris Security Toolkit 4.2 ソフトウェアに影響するバグ」を参照してください。
回避策 :
- NIS を使用する必要がある場合は、rpcbind を有効にして再起動します。『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 1 章を参照してください。
- NIS を使用する必要がない場合は、NIS を無効にします。NIS を無効にする方法については、Solaris 10 OS のネームサービスに関するマニュアルを参照してください。
再起動を複数回行うと svcs が初期化されず、nddconfig で監査が失敗する (Bug ID 6284872)
強化後に複数回再起動を行うと svcs が初期化されず、監査が nddconfig で失敗します。つまり、システムが複数回再起動したあと、nddconfig 監査にはゼロエラーが含まれません。
問題点は、rpcbind が無効であり、システムが NIS を使用するように構成されていると、milestone/name-services がオンライン状態にならないことにあります。このため、/etc/rc2.d (svc:/milestone/multi-user:default) が動作せず、これにより nddconfig も動作しません。
このバグは、Solaris 10 OS の Bug ID 6223370 により修正される予定です。
回避策 :
- NIS を使用する必要がある場合は、rpcbind を有効にして再起動します。『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 1 章を参照してください。
- NIS を使用する必要がない場合は、NIS を無効にします。NIS を無効にする方法については、Solaris 10 OS のネームサービスに関するマニュアルを参照してください。
Solaris Security Toolkit 4.2 ソフトウェアに影響するバグ
この節では、発生する可能性のあるバグについて説明します。これらのバグは、Solaris Security Toolkit に影響するその他のソフトウェアで修正されていません。
ip6_send_redirects のパラメータが監査によって異なる場合がある (Bug ID 6222001)
この Solaris 10 OS バグは、Solaris Security Toolkit 4.2 ソフトウェアの動作に影響する可能性があります。同じであるはずの ip6_send_redirects のパラメータが監査によって異なる場合があります。たとえば、強化されてないシステムを監査するとします (Audit #1)。続いてシステムを強化し、再起動し、強化を元に戻して、再起動します。システムを再度監査します (Audit #2)。
タイムスタンプを除いて、同じ監査結果が表示されると予想されます。しかし、最初の監査と第 2 の監査の間で、nddconfig ファイルの ip6_send_redirects パラメータが異なる場合があります。最初の監査では、パラメータが 0 ではないためチェックに失敗したとメッセージは報告します。第 2 の監査では、パラメータが 0 であり、これが正しい応答であるためチェックが成功したとメッセージは報告します。
回避策 : 特にありません。
/etc/motd は揮発性ファイルとしてインストールする必要がある (Bug ID 6222495)
この Solaris 10 OS のバグは、Solaris Security Toolkit 4.2 ソフトウェアの動作に影響する可能性があります。/etc/motd ファイルは、ファイルタイプ f で SUNWcsr パッケージにより配布されます。Solaris Security Toolkit 4.2 のドライバがこのファイルを置き換えるため、ゾーンとゾーン内のパッケージをインストールする際にエラーと警告が発生する可能性があります。
回避策 :
次のいずれかの方法を実行します。
- このファイルがインストールされないように JASS_FILES リストからファイルを削除します。
- ファイルタイプを v に変更してこのエラーを解消します。
svc.startd が optional_all のエッジケースを見つけることができない (Bug ID 6223370)
rpcbind を無効にして再起動した場合、milestone/name-services がオンラインにはならないため、inetd およびその他のサービスがオンラインにならない場合があります。いくつかの点で、この Solaris 10 OS のバグは、Solaris Security Toolkit 4.2 ソフトウェアの動作に影響する可能性があります。Bug ID 6284872 および Bug ID 6222181 の説明を参照してください。
回避策 :
- NIS を使用する必要がある場合は、rpcbind を有効にして再起動します。『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 1 章を参照してください。
- NIS を使用する必要がない場合は、NIS を無効にします。NIS を無効にする方法については、Solaris 10 OS のネームサービスに関するマニュアルを参照してください。
Solaris Security Toolkit 4.2 ご使用にあたって
| 819-3796-10
| |
Copyright© 2005, Sun Microsystems, Inc. All rights reserved.