Solaris Security Toolkit 4.1 管理マニュアル

この章では、Solaris Security Toolkit ソフトウェアを使用するための JumpStart サーバーの構成と管理について説明します。JumpStart テクノロジは、サンのネットワークベースの Solaris OS インストールメカニズムで、インストール処理中に Solaris Security Toolkit ソフトウェアを実行できます。

Solaris Security Toolkit の JumpStart モードは JumpStart テクノロジに基づいており、バージョン 2.1 以降の Solaris OS 製品で使用できます。JumpStart テクノロジでは、Solaris OS とシステムソフトウェアのインストールを完全に自動化して複雑な処理を管理するため、システムの妥当性と標準化が促進されます。JumpStart テクノロジは、システムの迅速なインストールと配備に関する要件に適合するための手段です。

JumpStart テクノロジには、特にシステムのセキュリティー上の利点があります。JumpStart テクノロジを Solaris Security Toolkit ソフトウェアで使用すると、Solaris OS の自動インストール中にシステムを安全な状態に保つことができます。これにより、システムのインストール時にシステムのセキュリティーの標準化とセキュリティー対策が行えます。JumpStart テクノロジについての詳細は、Sun BluePrints マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

この章では、以下の項目を説明します。

• JumpStart サーバーと環境の構成
• JumpStart プロファイルテンプレートの使用
• クライアントの追加と削除

---

JumpStart サーバーと環境の構成

JumpStart 環境で使用するには、JASS_HOME_DIR (tar ダウンロードの場合) または /opt/SUNWjass (pkg ダウンロードの場合) の Solaris Security Toolkit ソースを JumpStart サーバーのベースディレクトリにコピーする必要があります。デフォルトのディレクトリは、JumpStart サーバー上の /jumpstart です。Solaris Security Toolkit ソースをコピーすると、JASS_HOME_DIR が JumpStart サーバーのベースディレクトリになります。

この節の説明は、JumpStart テクノロジを理解していること、および既存の JumpStart 環境があることを前提にしています。

Solaris Security Toolkit ソフトウェアと JumpStart アーキテクチャーの統合は、簡単な手順で行えます。

1. Solaris Security Toolkit ソースを JumpStart サーバーのルートディレクトリにコピーします。

たとえば、Solaris Security Toolkit アーカイブを JASS_REPOSITORY に圧縮解除し、JumpStart サーバーのルートディレクトリが /jumpstart である場合は、以下のコマンドを使用して Solaris Security Toolkit ソースをコピーします。

# pwd

/opt/SUNWjass

# tar cf - . | (cd /jumpstart; tar xf -)

一般に、Solaris Security Toolkit ソフトウェアは、JumpStart サーバーの SI_CONFIG_DIR にインストールされ、このディレクトリは通常 JASS_HOME_DIR にもなります。

2. Solaris 2.5.1 OS の sysidcfg ファイルに変更を加えると、JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 ディレクトリ内のファイルが変更されます。

Solaris 2.5.1 OS では、SI_CONFIG_DIR 内の sysidcfg ファイルのみサポートされ、他のサブディレクトリ内の sysidcfg ファイルはサポートされません。したがって、このバージョンの Solaris を使用している場合は、JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 内の sysidcfg ファイルを直接使用できません。この制限事項に対処するために、Solaris Security Toolkit ソフトウェアには、JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1/sysidcfg ファイルにリンクした SI_CONFIG_DIR/sysidcfg が用意されています。

3. 以下のコマンドを使用して、JASS_HOME_DIR/Drivers/user.init.SAMPLE を JASS_HOME_DIR/Drivers/user.init にコピーします。

# pwd

/jumpstart/Drivers

# cp user.init.SAMPLE user.init

4. マルチホーム JumpStart サーバーで問題が発生した場合は、JASS_PACKAGE_MOUNT と JASS_PATCH_MOUNT の 2 つの項目を JASS_HOME_DIR/Patches および JASS_HOME_DIR/Packages ディレクトリへの正しいパスに変更します。

5. Solaris Security Toolkit ソフトウェアを SI_CONFIG_DIR のサブディレクトリ (SI_CONFIG_DIR/path/to/JASS など) にインストールする場合は、以下の行を user.init ファイルに追加します。

if [ -z "${JASS_HOME_DIR}" ]; then	if [ "${JASS_STANDALONE}" = 0 ]; then			JASS_HOME_DIR="${SI_CONFIG_DIR}/path/to/JASS"	fifiexport JASS_HOME_DIR

6. Solaris Security Toolkit ドライバ (たとえば、デフォルトの secure.driver) を選択または作成します。

• hardening.driver と config.driver に示されるスクリプトをすべて使用する場合は、Drivers/secure.driver のパスを rules ファイルに追加します。
• 特定のスクリプトのみ使用する場合は、そのファイルのコピーを作成し、そのコピーを変更します。

7. ドライバが完了したら、rules ファイル内に適切な項目を作成します。

たとえば、以下のような項目を作成します。

hostname imbulu - Profiles/core.profile Drivers/secure.driver

注意 - Solaris Security Toolkit ソフトウェアに含まれるオリジナルのスクリプトを変更しないでください。Solaris Security Toolkit ソフトウェアの新しいリリースに効率的に移行するには、オリジナルファイルとカスタムファイルを別々に保管します。

Solaris Security Toolkit ソフトウェアを既存の JumpStart 環境に正常に移行するには、もう 1 つ別の変更が必要な場合もあります。

8. Solaris Security Toolkit ソフトウェアの sysidcfg ファイルを使用して JumpStart クライアントのインストールを自動化する場合は、そのファイルの適合性を確認します。

sysidcfg ファイルの解析中に JumpStart サーバーでエラーが検出されると、ファイルの内容がすべて無視されます。

この節で説明する構成手順をすべて完了した後は、クライアント上で JumpStart テクノロジを使用できるようになり、インストール処理中に OS の強化または最小化を正常に行えます。

---

JumpStart プロファイルテンプレートの使用

JumpStart プロファイルテンプレートは、JumpStart モードでのみ使用されるファイルです。プロファイルの必須項目およびオプションの内容については、Sun BluePrints マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

JumpStart プロファイルテンプレートを、個々のサイトを変更する際のサンプルとして使用します。プロファイルを確認し、当該環境でどのような変更を行うかを決定します。

プロファイルのコピーを作成し、サイトに合わせて変更します。Solaris Security Toolkit ソフトウェアへのアップデートによって変更内容が上書きされることがあるため、オリジナルのプロファイルを変更しないでください。

Solaris Security Toolkit ソフトウェアには、以下の JumpStart プロファイルがあります。

• 32-bit-minimal.profile
• core.profile
• end-user.profile
• developer.profile
• entire-distribution.profile
• oem.profile
• minimal-Sun_ONE-WS-Solaris*.profile
• minimal-SunFire_Domain*.profile

以下の項では、これらのプロファイルについて説明します。

32-bit-minimal.profile

この JumpStart プロファイルは、32 ビット最小化システム用で、比較的汎用性があります。このプロファイルは、最小化システムの開発に適した起点となり、minimal-Sun_ONE-WS-Solaris* .profile 最小化スクリプトはこれを起点にしています。

core.profile

この JumpStart プロファイルは、最小の Solaris OS クラスタである SUNWCreq をインストールします。ディスクのパーティションにルートパーティションとスワップパーティションを含めるように指定されることを除き、構成の変更は行われません。

end-user.profile

この JumpStart プロファイルは、End User Solaris OS クラスタである SUNWCuser と、プロセスアカウントが適切に機能するために必要な 2 つの Solaris OS パッケージをインストールします。また、ルートパーティションとスワップパーティションのみ含めるようにディスクパーティションが定義されます。

developer.profile

この JumpStart プロファイルは、Developer Solaris OS クラスタである SUNWCprog と、プロセスアカウントが適切に機能するために必要な 2 つの Solaris OS パッケージをインストールします。core.profile 定義と同様、他に行われる構成定義は、Solaris OS クラスタに加え、ルートとスワップを含めるディスクパーティション化のみです。

entire-distribution.profile

この JumpStart プロファイルは、Entire Distribution Solaris OS クラスタである SUNWCall をインストールします。他のプロファイルと同様、ルートパーティションとスワップパーティションを含めるようにディスクパーティションが定義されます。

oem.profile

この JumpStart プロファイルは、OEM Solaris OS クラスタである SUNWCXall をインストールします。このクラスタは Entire Distribution クラスタのスーパーセットで、OEM から提供されるソフトウェアをインストールします。

minimal-Sun_ONE-WS-Solaris*.profile

以下のプロファイルは、すべて Sun BluePrints OnLine 掲載記事『Minimizing the Solaris Operating Environment for Security』に基づいています。この記事で扱う Solaris OS バージョンには、それぞれ固有のプロファイルがあります。以下の JumpStart プロファイルは、記事に記載されているプロファイルと同じです。

• minimal-Sun_ONE-WS-Solaris.26.profile
• minimal-Sun_ONE-WS-Solaris7-32bit.profile
• minimal-Sun_ONE-WS-Solaris7-64bit.profile
• minimal-Sun_ONE-WS-Solaris8-32bit.profile
• minimal-Sun_ONE-WS-Solaris8-64bit.profile
• minimal-Sun_ONE-WS-Solaris9-64bit.profile

minimal-SunFire_Domain*.profile

以下のプロファイルは、すべて Sun BluePrints OnLine 掲載記事『Minimizing Domains for Sun Fire V1280, 12K, and 15K Systems』に基づいています。以下の JumpStart プロファイルは、記事に記載されているプロファイルと同じです。

• minimal-SunFire_Domain-Apps-Solaris8.profile
• minimal-SunFire_Domain-Apps-Solaris9.profile
• minimal-SunFire_Domain-NoX-Solaris8.profile
• minimal-SunFire_Domain-NoX-Solaris9.profile
• minimal-SunFire_Domain-X-Solaris8.profile
• minimal-SunFire_Domain-X-Solaris9.profile

---

クライアントの追加と削除

以下では、JumpStart モードで使用可能なスクリプトについて説明します。このモードは、JumpStart サーバー上の rules ファイルに挿入される Solaris Security Toolkit ドライバによって制御されます。

JumpStart モードを使用するように環境を構成していない場合は、JumpStart サーバーと環境の構成を参照してください。

add-client スクリプト

JumpStart サーバーからクライアントを簡単に追加するには、Solaris Security Toolkit ソフトウェアに付属するこのスクリプトを使用します。このコマンドとオプションについては以下の段落で説明しますが、基本的な JumpStart テクノロジについては説明しません。JumpStart テクノロジについての詳細は、Sun BluePrints マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

add-client スクリプトは、以下の引数を使用する add_install_client コマンドのラッパーです。

使用例 :

# add-client -c client -i server -m client-class -o client-OS -s sysidcfg

表 5-1 に、add-client コマンドの有効な入力を示します。

JumpStart クライアント jordan を、nomex-jumpstart インタフェース上で Solaris 8 OS (4/01) を使用している JumpStart サーバー nomex に追加するには、以下の add-client コマンドを使用します。

#./add-client -c jordan -o Solaris_8_2001-04 -m sun4u -i nomex-jumpstart

updating /etc/bootparams

sysidcfg オプションを使用して同じ JumpStart クライアント (jordan) を追加するには、以下のコマンドを使用します。

#./add-client -c jordan -o Solaris_8_2001-04 -m sun4u -i nomex-jumpstart -s Hosts/jordan

updating /etc/bootparams

rm-client スクリプト

JumpStart サーバーからクライアントを簡単に削除するには、Solaris Security Toolkit ソフトウェアに付属するこのスクリプトを使用します。このコマンドとオプションについては以下の段落で説明しますが、基本的な JumpStart テクノロジについては説明しません。JumpStart テクノロジについての詳細は、『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

rm-client スクリプトは add-client と同様、rm_install_client のラッパーです。

使用例: rm-client [-c] client

ここで、client は JumpStart クライアントの解釈可能なホスト名です。

表 5-2 に、rm-client コマンドの有効な入力を示します。

JumpStart クライアント jordan を削除するには、以下の rm-client コマンドを使用します。

# ./rm-client -c jordan

removing jordan from bootparams

Solaris Security Toolkit 4.1 管理マニュアル

817-7653-10

Copyright© 2004, Sun Microsystems, Inc. All rights reserved.