Solaris Security Toolkit 4.2 リファレンスマニュアル
| |
Solaris Security Toolkit 4.2 リファレンスマニュアル
819-3793-10
表目次
コード例
はじめに
1. Solaris 10 オペレーティングシステムのサポートの概要
Solaris Security Toolkit ソフトウェアと Perl の併用
Solaris 10 OS 上の SMF とレガシーサービス
SMF 対応サ―ビスインタフェースを使用するスクリプト
SMF がレガシーサービスと認識するスクリプト
Solaris Security Toolkit 4.2 リリース用の新しいスクリプト
Solaris 10 OS では使用されないスクリプト
Solaris 10 OS では使用されない環境変数
Solaris 10 OS のゾーンの使用法
大域ゾーンおよび非大域ゾーンの強化における順序の重要性
非大域ゾーン内からの非大域ゾーンの強化
非大域ゾーンに関連しない一部のスクリプト
非大域ゾーンの監査は大域ゾーンの監査からは分離、区別されている
ゾーンに対応する終了および監査スクリプト
一部のゾーン対応スクリプトは、非大域ゾーンで使用する前にアクションが必要
ドライバに基づく rpcbind 無効化または有効化
rpcbind を有効にする
TCP ラッパーの使用法
TCP ラッパー構成 (secure.driver の場合)
TCP ラッパー構成 (server-secure.driver の場合)
TCP ラッパー構成 (suncluster3x-secure.driver の場合)
TCP ラッパー構成 (sunfire_15k_sc-secure.driver の場合)
環境変数の定義
Solaris Security Toolkit の旧バージョン
Solaris Security Toolkit 4.2
2. フレームワーク関数
フレームワーク関数のカスタマイズ
共通のログ関数の使用
logBanner
logDebug
logError
logFailure
logFileContentsExist と logFileContentsNotExist
logFileExists と logFileNotExists
logFileGroupMatch と logFileGroupNoMatch
logFileModeMatch と logFileModeNoMatch
logFileNotFound
logFileOwnerMatch と logFileOwnerNoMatch
logFileTypeMatch と logFileTypeNoMatch
logFinding
logFormattedMessage
logInvalidDisableMode
logInvalidOSRevision
logMessage
logNotGlobalZone
logNotice
logPackageExists と logPackageNotExists
logPatchExists と logPatchNotExists
logProcessArgsMatch と logProcessArgsNoMatch
logProcessExists と logProcessNotExists
logProcessNotFound
logScore
logScriptFailure
logServiceConfigExists と logServiceConfigNotExists
logServiceDisabled と logServiceEnabled
logServiceInstalled と logServiceNotInstalled
logServiceOptionDisabled と logServiceOptionEnabled
logServiceProcessList
logServicePropDisabled と logServicePropEnabled
logServiceRunning と logServiceNotRunning
logStartScriptExists と logStartScriptNotExists
logStopScriptExists と logStopScriptNotExists
logSuccess
logSummary
logUserLocked と logUserNotLocked
logUndoBackupWarning
logWarning
その他の共通関数の使用
adjustScore
checkLogStatus
clean_path
extractComments
get_driver_report
get_lists_conjunction
get_lists_disjunction
invalidVulnVal
isNumeric
printPretty
printPrettyPath
strip_path
ドライバ関数の使用
add_crontab_entry_if_missing
add_option_to_ftpd_property
add_patch
add_pkg
add_to_manifest
backup_file
backup_file_in_safe_directory
change_group
change_mode
change_owner
check_and_log_change_needed
check_os_min_version
check_os_revision
check_readOnlyMounted
checksum
convert_inetd_service_to_frmi
copy_a_dir
copy_a_file
copy_a_symlink
copy_files
create_a_file
create_file_timestamp
disable_conf_file
disable_file
disable_rc_file
disable_service
enable_service
find_sst_run_with
get_expanded_file_name
get_stored_keyword_val
get_users_with_retries_set
is_patch_applied と is_patch_not_applied
is_service_enabled
is_service_installed
is_service_running
is_user_account_extant
is_user_account_locked
is_user_account_login_not_set
is_user_account_passworded
lock_user_account
make_link
mkdir_dashp
move_a_file
rm_pkg
set_service_property_value
set_stored_keyword_val
unlock_user_account
update_inetconv_in_upgrade
warn_on_default_files
write_val_to_file
監査関数の使用
check_fileContentsExist と check_fileContentsNotExist
check_fileExists と check_fileNotExists
check_fileGroupMatch と check_fileGroupNoMatch
check_fileModeMatch と check_fileModeNoMatch
check_fileOwnerMatch と check_fileOwnerNoMatch
check_fileTemplate
check_fileTypeMatch と check_fileTypeNoMatch
check_if_crontab_entry_present
check_keyword_value_pair
check_minimized
check_minimized_service
check_packageExists と check_packageNotExists
check_patchExists と check_patchNotExists
check_processArgsMatch と check_processArgsNoMatch
check_processExists と check_processNotExists
check_serviceConfigExists と check_serviceConfigNotExists
check_serviceDisabled と check_serviceEnabled
check_serviceInstalled と check_serviceNotInstalled
check_serviceOptionEnabled と check_serviceOptionDisabled
check_servicePropDisabled
check_serviceRunning と check_serviceNotRunning
check_startScriptExists と check_startScriptNotExists
check_stopScriptExists と check_stopScriptNotExists
check_userLocked と check_userNotLocked
finish_audit
get_cmdFromService
start_audit
3. ファイルテンプレート
ファイルテンプレートのカスタマイズ
ファイルテンプレートをカスタマイズするには
ファイルのコピー方法について
構成ファイルの使用
driver.init
finish.init
user.init.SAMPLE
user.init スクリプトに新しい変数を追加する
user.init ファイルを使用して変数にエントリを追加する
ファイルテンプレートの使用
.cshrc
.profile
etc/default/sendmail
etc/dt/config/Xaccess
etc/ftpd/banner.msg
etc/hosts.allow と etc/hosts.deny
etc/hosts.allow-15k_sc
etc/hosts.allow-server
etc/hosts.allow-suncluster
etc/init.d/nddconfig
etc/init.d/set-tmp-permissions
etc/init.d/sms_arpconfig
etc/init.d/swapadd
etc/issue と etc/motd
etc/notrouter
etc/opt/ipf/ipf.conf
etc/opt/ipf/ipf.conf-15k_sc
etc/opt/ipf/ipf.conf-server
etc/rc2.d/S00set-tmp-permissions と etc/rc2.d/S07set-tmp-permissions
etc/rc2.d/S70nddconfig
etc/rc2.d/S73sms_arpconfig
etc/rc2.d/S77swapadd
etc/security/audit_control
etc/security/audit_class+5.8 と etc/security/audit_event+5.8
etc/security/audit_class+5.9 と etc/security/audit_event+5.9
etc/sms_domain_arp と /etc/sms_sc_arp
etc/syslog.conf
root/.cshrc
root/.profile
var/opt/SUNWjass/BART/rules
var/opt/SUNWjass/BART/rules-secure
4. ドライバ
ドライバの関数と処理について
機能ファイルを読み込む
基本チェックを行う
ユーザー機能の優先指定を読み込む
ファイルシステムを JumpStart クライアントにマウントする
ファイルをコピーまたは監査する
スクリプトを実行する
実行に対する合計スコアを計算する
ファイルシステムを JumpStart クライアントからアンマウントする
ドライバのカスタマイズ
ドライバをカスタマイズするには
標準のドライバの使用
config.driver
hardening.driver
secure.driver
製品固有のドライバの使用
server-secure.driver
suncluster3x-secure.driver
sunfire_15k_sc-secure.driver
5. 終了スクリプト
終了スクリプトのカスタマイズ
既存の終了スクリプトをカスタマイズする
終了スクリプトをカスタマイズするには
kill スクリプトが無効にされないようにする
新しい終了スクリプトを作成する
標準の終了スクリプトの使用
無効化 (disable) 終了スクリプト
disable-ab2.fin
disable-apache.fin
disable-apache2.fin
disable-appserv.fin
disable-asppp.fin
disable-autoinst.fin
disable-automount.fin
disable-dhcp.fin
disable-directory.fin
disable-dmi.fin
disable-dtlogin.fin
disable-face-log.fin
disable-IIim.fin
disable-ipv6.fin
disable-kdc.fin
disable-keyboard-abort.fin
disable-keyserv-uid-nobody.fin
disable-ldap-client.fin
disable-lp.fin
disable-mipagent.fin
disable-named.fin
disable-nfs-client.fin
disable-nfs-server.fin
disable-nscd-caching.fin
disable-picld.fin
disable-power-mgmt.fin
disable-ppp.fin
disable-preserve.fin
disable-remote-root-login.fin
disable-rhosts.fin
disable-routing.fin
disable-rpc.fin
disable-samba.fin
disable-sendmail.fin
disable-slp.fin
disable-sma.fin
disable-snmp.fin
disable-spc.fin
disable-ssh-root-login.fin
disable-syslogd-listen.fin
disable-system-accounts.fin
disable-uucp.fin
disable-vold.fin
disable-wbem.fin
disable-xfs-fin
disable-xserver.listen.fin
有効化 (enable) 終了スクリプト
enable-account-lockout.fin
enable-bart.fin
enable-bsm.fin
enable-coreadm.fin
enable-ftpaccess.fin
enable-ftp-syslog.fin
enable-inetd-syslog.fin
enable-ipfilter.fin
enable-password-history.fin
enable-priv-nfs-ports.fin
enable-process-accounting.fin
enable-rfc1948.fin
enable-stack-protection.fin
enable-tcpwrappers.fin
インストール (install) 終了スクリプト
install-at-allow.fin
install-fix-modes.fin
install-ftpusers.fin
install-jass.fin
install-loginlog.fin
install-md5.fin
install-nddconfig.fin
install-newaliases.fin
install-openssh.fin
install-recommended-patches.fin
install-sadmind-options.fin
install-security-mode.fin
install-shells.fin
install-strong-permissions.fin
install-sulog.fin
install-templates.fin
印刷 (print) 終了スクリプト
print-jass-environment.fin
print-jumpstart-environment.fin
print-rhosts.fin
print-sgid-files.fin
print-suid-files.fin
print-unowned-objects.fin
print-world-writable-objects.fin
削除 (remove) 終了スクリプト
remove-unneeded-accounts.fin
設定 (set) 終了スクリプト
set-banner-dtlogin.fin
set-banner-ftpd.fin
set-banner-sendmail.fin
set-banner-sshd.fin
set-banner-telnet.fin
set-flexible-crypt.fin
set-ftpd-umask.fin
set-login-retries.fin
set-power-restrictions.fin
set-rmmount-nosuid.fin
set-root-group.fin
set-root-home-dir.fin
set-root-password.fin
set-strict-password-checks.fin
set-sys-suspend-restrictions.fin
set-system-umask.fin
set-term-type.fin
set-tmpfs-limit.fin
set-user-password-reqs.fin
set-user-umask.fin
更新 (update) 終了スクリプト
update-at-deny.fin
update-cron-allow.fin
update-cron-deny.fin
update-cron-log-size.fin
update-inetd-conf.fin
製品固有の終了スクリプトの使用
suncluster3x-set-nsswitch-conf.fin
s15k-static-arp.fin
s15k-exclude-domains.fin
s15k-sms-secure-failover.fin
6. 監査スクリプト
監査スクリプトのカスタマイズ
標準の監査スクリプトをカスタマイズする
監査スクリプトをカスタマイズするには
新しい監査スクリプトを作成する
標準の監査スクリプトの使用
無効化 (disable) 監査スクリプト
disable-ab2.aud
disable-apache.aud
disable-apache2.aud
disable-appserv.aud
disable-asppp.aud
disable-autoinst.aud
disable-automount.aud
disable-dhcpd.aud
disable-directory.aud
disable-dmi.aud
disable-dtlogin.aud
disable-face-log.aud
disable-IIim.aud
disable-ipv6.aud
disable-kdc.aud
disable-keyboard-abort.aud
disable-keyserv-uid-nobody.aud
disable-ldap-client.aud
disable-lp.aud
disable-mipagent.aud
disable-named.aud
disable-nfs-client.aud
disable-nfs-server.aud
disable-nscd-caching.aud
disable-picld.aud
disable-power-mgmt.aud
disable-ppp.aud
disable-preserve.aud
disable-remote-root-login.aud
disable-rhosts.aud
disable-routing.aud
disable-rpc.aud
disable-samba.aud
disable-sendmail.aud
disable-slp.aud
disable-sma.aud
disable-snmp.aud
disable-spc.aud
disable-ssh-root-login.aud
disable-syslogd-listen.aud
disable-system-accounts.aud
disable-uucp.aud
disable-vold.aud
disable-wbem.aud
disable-xfs.aud
disable-xserver.listen.aud
有効化 (enable) 監査スクリプト
enable-account-lockout.aud
enable-bart.aud
enable-bsm.aud
enable-coreadm.aud
enable-ftp-syslog.aud
enable-ftpaccess.aud
enable-inetd-syslog.aud
enable-ipfilter.aud
enable-password-history.aud
enable-priv-nfs-ports.aud
enable-process-accounting.aud
enable-rfc1948.aud
enable-stack-protection.aud
enable-tcpwrappers.aud
インストール (install) 監査スクリプト
install-at-allow.aud
install-fix-modes.aud
install-ftpusers.aud
install-jass.aud
install-loginlog.aud
install-md5.aud
install-nddconfig.aud
install-newaliases.aud
install-openssh.aud
install-recommended-patches.aud
install-sadmind-options.aud
install-security-mode.aud
install-shells.aud
install-strong-permissions.aud
install-sulog.aud
install-templates.aud
印刷 (print) 監査スクリプト
print-jass-environment.aud
print-jumpstart-environment.aud
print-rhosts.aud
print-sgid-files.aud
print-suid-files.aud
print-unowned-objects.aud
print-world-writable-objects.aud
削除 (remove) 監査スクリプト
remove-unneeded-accounts.aud
設定 (set) 監査スクリプト
set-banner-dtlogin.aud
set-banner-ftpd.aud
set-banner-sendmail.aud
set-banner-sshd.aud
set-banner-telnet.aud
set-flexible-crypt.aud
set-ftpd-umask.aud
set-login-retries.aud
set-power-restrictions.aud
set-rmmount-nosuid.aud
set-root-group.aud
set-root-home-dir.aud
set-root-password.aud
set-strict-password-checks.aud
set-sys-suspend-restrictions.aud
set-system-umask.aud
set-term-type.aud
set-tmpfs-limit.aud
set-user-password-reqs.aud
set-user-umask.aud
更新 (update) 監査スクリプト
update-at-deny.aud
update-cron-allow.aud
update-cron-deny.aud
update-cron-log-size.aud
update-inetd-conf.aud
製品固有の監査スクリプトの使用
suncluster3x-set-nsswitch-conf.aud
s15k-static-arp.aud
s15k-exclude-domains.aud
s15k-sms-secure-failover.aud
7. 環境変数
変数のカスタマイズと割り当て
静的変数の割り当て
動的変数の割り当て
複合置換変数の割り当て
グローバル変数およびプロファイルベース変数の割り当て
環境変数の作成
環境変数の使用
フレームワーク変数の定義
JASS_AUDIT_DIR
JASS_CHECK_MINIMIZED
JASS_CONFIG_DIR
JASS_DISABLE_MODE
JASS_DISPLAY_HOST_LENGTH
JASS_DISPLAY_HOSTNAME
JASS_DISPLAY_SCRIPT_LENGTH
JASS_DISPLAY_SCRIPTNAME
JASS_DISPLAY_TIME_LENGTH
JASS_DISPLAY_TIMESTAMP
JASS_FILE_COPY_KEYWORD
JASS_FILES
JASS_FILES_DIR
JASS_FINISH_DIR
JASS_HOME_DIR
JASS_HOSTNAME
JASS_ISA_CAPABILITY
JASS_LOG_BANNER
JASS_LOG_ERROR
JASS_LOG_FAILURE
JASS_LOG_NOTICE
JASS_LOG_SUCCESS
JASS_LOG_SUMMARY
JASS_LOG_WARNING
JASS_MODE
JASS_OS_REVISION
JASS_OS_TYPE
JASS_PACKAGE_DIR
JASS_PATCH_DIR
JASS_PKG
JASS_REPOSITORY
JASS_ROOT_DIR
JASS_ROOT_HOME_DIR
JASS_RUN_AUDIT_LOG
JASS_RUN_CHECKSUM
JASS_RUN_CLEAN_LOG
JASS_RUN_FINISH_LIST
JASS_RUN_INSTALL_LOG
JASS_RUN_MANIFEST
JASS_RUN_SCRIPT_LIST
JASS_RUN_UNDO_LOG
JASS_RUN_VALUES
JASS_RUN_VERSION
JASS_SAVE_BACKUP
JASS_SCRIPT
JASS_SCRIPT_ERROR_LOG
JASS_SCRIPT_FAIL_LOG
JASS_SCRIPT_NOTE_LOG
JASS_SCRIPT_WARN_LOG
JASS_SCRIPTS
JASS_STANDALONE
JASS_SUFFIX
JASS_TIMESTAMP
JASS_UNAME
JASS_UNDO_TYPE
JASS_USER_DIR
JASS_VERBOSITY
JASS_VERSION
JASS_ZONE_NAME
スクリプト動作変数を定義する
JASS_ACCT_DISABLE
JASS_ACCT_REMOVE
JASS_AGING_MAXWEEKS
JASS_AGING_MINWEEKS
JASS_AGING_WARNWEEKS
JASS_AT_ALLOW
JASS_AT_DENY
JASS_BANNER_DTLOGIN
JASS_BANNER_FTPD
JASS_BANNER_SENDMAIL
JASS_BANNER_SSHD
JASS_BANNER_TELNETD
JASS_CORE_PATTERN
JASS_CPR_MGT_USER
JASS_CRON_ALLOW
JASS_CRON_DENY
JASS_CRON_LOG_SIZE
JASS_CRYPT_ALGORITHMS_ALLOW
JASS_CRYPT_DEFAULT
JASS_CRYPT_FORCE_EXPIRE
JASS_FIXMODES_DIR
JASS_FIXMODES_OPTIONS
JASS_FTPD_UMASK
JASS_FTPUSERS
JASS_KILL_SCRIPT_DISABLE
JASS_LOGIN_RETRIES
JASS_MD5_DIR
JASS_NOVICE_USER
JASS_PASSWD 環境変数
JASS_PASS_DICTIONDBDIR
JASS_PASS_DICTIONLIST
JASS_PASS_HISTORY
JASS_PASS_LENGTH
JASS_PASS_MAXREPEATS
JASS_PASS_MINALPHA
JASS_PASS_MINDIFF
JASS_PASS_MINDIGIT
JASS_PASS_MINLOWER
JASS_PASS_MINNONALPHA
JASS_PASS_MINSPECIAL
JASS_PASS_MINUPPER
JASS_PASS_NAMECHECK
JASS_PASS_WHITESPACE
JASS_PASSWD
JASS_POWER_MGT_USER
JASS_REC_PATCH_OPTIONS
JASS_RHOSTS_FILE
JASS_ROOT_GROUP
JASS_ROOT_PASSWORD
JASS_SADMIND_OPTIONS
JASS_SENDMAIL_MODE
JASS_SGID_FILE
JASS_SHELLS
JASS_SUID_FILE
JASS_SUSPEND_PERMS
JASS_SVCS_DISABLE
JASS_SVCS_ENABLE
JASS_TMPFS_SIZE
JASS_UMASK
JASS_UNOWNED_FILE
JASS_WRITABLE_FILE
JumpStart モード変数を定義する
JASS_PACKAGE_MOUNT
JASS_PATCH_MOUNT
用語集
索引
Solaris Security Toolkit 4.2 リファレンスマニュアル
| 819-3793-10
| |
Copyright© 2005, Sun Microsystems, Inc. All rights reserved.