Solaris Security Toolkit 4.2 リファレンスマニュアル

819-3793-10

目次

1. Solaris 10 オペレーティングシステムのサポートの概要

Solaris Security Toolkit ソフトウェアと Perl の併用

Solaris 10 OS 上の SMF とレガシーサービス

SMF 対応サ―ビスインタフェースを使用するスクリプト

SMF がレガシーサービスと認識するスクリプト

Solaris Security Toolkit 4.2 リリース用の新しいスクリプト

Solaris 10 OS では使用されないスクリプト

Solaris 10 OS では使用されない環境変数

Solaris 10 OS のゾーンの使用法

大域ゾーンおよび非大域ゾーンの強化における順序の重要性

非大域ゾーン内からの非大域ゾーンの強化

非大域ゾーンに関連しない一部のスクリプト

非大域ゾーンの監査は大域ゾーンの監査からは分離、区別されている

ゾーンに対応する終了および監査スクリプト

一部のゾーン対応スクリプトは、非大域ゾーンで使用する前にアクションが必要

ドライバに基づく rpcbind 無効化または有効化

small space rpcbind を有効にする

TCP ラッパーの使用法

TCP ラッパー構成 (secure.driver の場合)

TCP ラッパー構成 (server-secure.driver の場合)

TCP ラッパー構成 (suncluster3x-secure.driver の場合)

TCP ラッパー構成 (sunfire_15k_sc-secure.driver の場合)

環境変数の定義

Solaris Security Toolkit の旧バージョン

Solaris Security Toolkit 4.2

2. フレームワーク関数

フレームワーク関数のカスタマイズ

共通のログ関数の使用

logFileContentsExist と logFileContentsNotExist

logFileExists と logFileNotExists

logFileGroupMatch と logFileGroupNoMatch

logFileModeMatch と logFileModeNoMatch

logFileNotFound

logFileOwnerMatch と logFileOwnerNoMatch

logFileTypeMatch と logFileTypeNoMatch

logFormattedMessage

logInvalidDisableMode

logInvalidOSRevision

logNotGlobalZone

logPackageExists と logPackageNotExists

logPatchExists と logPatchNotExists

logProcessArgsMatch と logProcessArgsNoMatch

logProcessExists と logProcessNotExists

logProcessNotFound

logScriptFailure

logServiceConfigExists と logServiceConfigNotExists

logServiceDisabled と logServiceEnabled

logServiceInstalled と logServiceNotInstalled

logServiceOptionDisabled と logServiceOptionEnabled

logServiceProcessList

logServicePropDisabled と logServicePropEnabled

logServiceRunning と logServiceNotRunning

logStartScriptExists と logStartScriptNotExists

logStopScriptExists と logStopScriptNotExists

logUserLocked と logUserNotLocked

logUndoBackupWarning

その他の共通関数の使用

checkLogStatus

extractComments

get_driver_report

get_lists_conjunction

get_lists_disjunction

invalidVulnVal

printPrettyPath

ドライバ関数の使用

add_crontab_entry_if_missing

add_option_to_ftpd_property

add_to_manifest

backup_file_in_safe_directory

check_and_log_change_needed

check_os_min_version

check_os_revision

check_readOnlyMounted

convert_inetd_service_to_frmi

copy_a_symlink

create_a_file

create_file_timestamp

disable_conf_file

disable_rc_file

disable_service

enable_service

find_sst_run_with

get_expanded_file_name

get_stored_keyword_val

get_users_with_retries_set

is_patch_applied と is_patch_not_applied

is_service_enabled

is_service_installed

is_service_running

is_user_account_extant

is_user_account_locked

is_user_account_login_not_set

is_user_account_passworded

lock_user_account

set_service_property_value

set_stored_keyword_val

unlock_user_account

update_inetconv_in_upgrade

warn_on_default_files

write_val_to_file

監査関数の使用

check_fileContentsExist と check_fileContentsNotExist

check_fileExists と check_fileNotExists

check_fileGroupMatch と check_fileGroupNoMatch

check_fileModeMatch と check_fileModeNoMatch

check_fileOwnerMatch と check_fileOwnerNoMatch

check_fileTemplate

check_fileTypeMatch と check_fileTypeNoMatch

check_if_crontab_entry_present

check_keyword_value_pair

check_minimized

check_minimized_service

check_packageExists と check_packageNotExists

check_patchExists と check_patchNotExists

check_processArgsMatch と check_processArgsNoMatch

check_processExists と check_processNotExists

check_serviceConfigExists と check_serviceConfigNotExists

check_serviceDisabled と check_serviceEnabled

check_serviceInstalled と check_serviceNotInstalled

check_serviceOptionEnabled と check_serviceOptionDisabled

check_servicePropDisabled

check_serviceRunning と check_serviceNotRunning

check_startScriptExists と check_startScriptNotExists

check_stopScriptExists と check_stopScriptNotExists

check_userLocked と check_userNotLocked

get_cmdFromService

3. ファイルテンプレート

ファイルテンプレートのカスタマイズ

small space ファイルテンプレートをカスタマイズするには

ファイルのコピー方法について

構成ファイルの使用

user.init.SAMPLE

small space user.init スクリプトに新しい変数を追加する

small space user.init ファイルを使用して変数にエントリを追加する

ファイルテンプレートの使用

etc/default/sendmail

etc/dt/config/Xaccess

etc/ftpd/banner.msg

etc/hosts.allow と etc/hosts.deny

etc/hosts.allow-15k_sc

etc/hosts.allow-server

etc/hosts.allow-suncluster

etc/init.d/nddconfig

etc/init.d/set-tmp-permissions

etc/init.d/sms_arpconfig

etc/init.d/swapadd

etc/issue と etc/motd

etc/notrouter

etc/opt/ipf/ipf.conf

etc/opt/ipf/ipf.conf-15k_sc

etc/opt/ipf/ipf.conf-server

etc/rc2.d/S00set-tmp-permissions と etc/rc2.d/S07set-tmp-permissions

etc/rc2.d/S70nddconfig

etc/rc2.d/S73sms_arpconfig

etc/rc2.d/S77swapadd

etc/security/audit_control

etc/security/audit_class+5.8 と etc/security/audit_event+5.8

etc/security/audit_class+5.9 と etc/security/audit_event+5.9

etc/sms_domain_arp と /etc/sms_sc_arp

etc/syslog.conf

root/.profile

var/opt/SUNWjass/BART/rules

var/opt/SUNWjass/BART/rules-secure

4. ドライバ

ドライバの関数と処理について

機能ファイルを読み込む

基本チェックを行う

ユーザー機能の優先指定を読み込む

ファイルシステムを JumpStart クライアントにマウントする

ファイルをコピーまたは監査する

スクリプトを実行する

実行に対する合計スコアを計算する

ファイルシステムを JumpStart クライアントからアンマウントする

ドライバのカスタマイズ

small space ドライバをカスタマイズするには

標準のドライバの使用

config.driver

hardening.driver

secure.driver

製品固有のドライバの使用

server-secure.driver

suncluster3x-secure.driver

sunfire_15k_sc-secure.driver

5. 終了スクリプト

終了スクリプトのカスタマイズ

既存の終了スクリプトをカスタマイズする

small space 終了スクリプトをカスタマイズするには

kill スクリプトが無効にされないようにする

新しい終了スクリプトを作成する

標準の終了スクリプトの使用

無効化 (disable) 終了スクリプト

disable-ab2.fin

disable-apache.fin

disable-apache2.fin

disable-appserv.fin

disable-asppp.fin

disable-autoinst.fin

disable-automount.fin

disable-dhcp.fin

disable-directory.fin

disable-dmi.fin

disable-dtlogin.fin

disable-face-log.fin

disable-IIim.fin

disable-ipv6.fin

disable-kdc.fin

disable-keyboard-abort.fin

disable-keyserv-uid-nobody.fin

disable-ldap-client.fin

disable-lp.fin

disable-mipagent.fin

disable-named.fin

disable-nfs-client.fin

disable-nfs-server.fin

disable-nscd-caching.fin

disable-picld.fin

disable-power-mgmt.fin

disable-ppp.fin

disable-preserve.fin

disable-remote-root-login.fin

disable-rhosts.fin

disable-routing.fin

disable-rpc.fin

disable-samba.fin

disable-sendmail.fin

disable-slp.fin

disable-sma.fin

disable-snmp.fin

disable-spc.fin

disable-ssh-root-login.fin

disable-syslogd-listen.fin

disable-system-accounts.fin

disable-uucp.fin

disable-vold.fin

disable-wbem.fin

disable-xfs-fin

disable-xserver.listen.fin

有効化 (enable) 終了スクリプト

enable-account-lockout.fin

enable-bart.fin

enable-bsm.fin

enable-coreadm.fin

enable-ftpaccess.fin

enable-ftp-syslog.fin

enable-inetd-syslog.fin

enable-ipfilter.fin

enable-password-history.fin

enable-priv-nfs-ports.fin

enable-process-accounting.fin

enable-rfc1948.fin

enable-stack-protection.fin

enable-tcpwrappers.fin

インストール (install) 終了スクリプト

install-at-allow.fin

install-fix-modes.fin

install-ftpusers.fin

install-jass.fin

install-loginlog.fin

install-md5.fin

install-nddconfig.fin

install-newaliases.fin

install-openssh.fin

install-recommended-patches.fin

install-sadmind-options.fin

install-security-mode.fin

install-shells.fin

install-strong-permissions.fin

install-sulog.fin

install-templates.fin

印刷 (print) 終了スクリプト

print-jass-environment.fin

print-jumpstart-environment.fin

print-rhosts.fin

print-sgid-files.fin

print-suid-files.fin

print-unowned-objects.fin

print-world-writable-objects.fin

削除 (remove) 終了スクリプト

remove-unneeded-accounts.fin

設定 (set) 終了スクリプト

set-banner-dtlogin.fin

set-banner-ftpd.fin

set-banner-sendmail.fin

set-banner-sshd.fin

set-banner-telnet.fin

set-flexible-crypt.fin

set-ftpd-umask.fin

set-login-retries.fin

set-power-restrictions.fin

set-rmmount-nosuid.fin

set-root-group.fin

set-root-home-dir.fin

set-root-password.fin

set-strict-password-checks.fin

set-sys-suspend-restrictions.fin

set-system-umask.fin

set-term-type.fin

set-tmpfs-limit.fin

set-user-password-reqs.fin

set-user-umask.fin

更新 (update) 終了スクリプト

update-at-deny.fin

update-cron-allow.fin

update-cron-deny.fin

update-cron-log-size.fin

update-inetd-conf.fin

製品固有の終了スクリプトの使用

suncluster3x-set-nsswitch-conf.fin

s15k-static-arp.fin

s15k-exclude-domains.fin

s15k-sms-secure-failover.fin

6. 監査スクリプト

監査スクリプトのカスタマイズ

標準の監査スクリプトをカスタマイズする

small space 監査スクリプトをカスタマイズするには

新しい監査スクリプトを作成する

標準の監査スクリプトの使用

無効化 (disable) 監査スクリプト

disable-ab2.aud

disable-apache.aud

disable-apache2.aud

disable-appserv.aud

disable-asppp.aud

disable-autoinst.aud

disable-automount.aud

disable-dhcpd.aud

disable-directory.aud

disable-dmi.aud

disable-dtlogin.aud

disable-face-log.aud

disable-IIim.aud

disable-ipv6.aud

disable-kdc.aud

disable-keyboard-abort.aud

disable-keyserv-uid-nobody.aud

disable-ldap-client.aud

disable-lp.aud

disable-mipagent.aud

disable-named.aud

disable-nfs-client.aud

disable-nfs-server.aud

disable-nscd-caching.aud

disable-picld.aud

disable-power-mgmt.aud

disable-ppp.aud

disable-preserve.aud

disable-remote-root-login.aud

disable-rhosts.aud

disable-routing.aud

disable-rpc.aud

disable-samba.aud

disable-sendmail.aud

disable-slp.aud

disable-sma.aud

disable-snmp.aud

disable-spc.aud

disable-ssh-root-login.aud

disable-syslogd-listen.aud

disable-system-accounts.aud

disable-uucp.aud

disable-vold.aud

disable-wbem.aud

disable-xfs.aud

disable-xserver.listen.aud

有効化 (enable) 監査スクリプト

enable-account-lockout.aud

enable-bart.aud

enable-bsm.aud

enable-coreadm.aud

enable-ftp-syslog.aud

enable-ftpaccess.aud

enable-inetd-syslog.aud

enable-ipfilter.aud

enable-password-history.aud

enable-priv-nfs-ports.aud

enable-process-accounting.aud

enable-rfc1948.aud

enable-stack-protection.aud

enable-tcpwrappers.aud

インストール (install) 監査スクリプト

install-at-allow.aud

install-fix-modes.aud

install-ftpusers.aud

install-jass.aud

install-loginlog.aud

install-md5.aud

install-nddconfig.aud

install-newaliases.aud

install-openssh.aud

install-recommended-patches.aud

install-sadmind-options.aud

install-security-mode.aud

install-shells.aud

install-strong-permissions.aud

install-sulog.aud

install-templates.aud

印刷 (print) 監査スクリプト

print-jass-environment.aud

print-jumpstart-environment.aud

print-rhosts.aud

print-sgid-files.aud

print-suid-files.aud

print-unowned-objects.aud

print-world-writable-objects.aud

削除 (remove) 監査スクリプト

remove-unneeded-accounts.aud

設定 (set) 監査スクリプト

set-banner-dtlogin.aud

set-banner-ftpd.aud

set-banner-sendmail.aud

set-banner-sshd.aud

set-banner-telnet.aud

set-flexible-crypt.aud

set-ftpd-umask.aud

set-login-retries.aud

set-power-restrictions.aud

set-rmmount-nosuid.aud

set-root-group.aud

set-root-home-dir.aud

set-root-password.aud

set-strict-password-checks.aud

set-sys-suspend-restrictions.aud

set-system-umask.aud

set-term-type.aud

set-tmpfs-limit.aud

set-user-password-reqs.aud

set-user-umask.aud

更新 (update) 監査スクリプト

update-at-deny.aud

update-cron-allow.aud

update-cron-deny.aud

update-cron-log-size.aud

update-inetd-conf.aud

製品固有の監査スクリプトの使用

suncluster3x-set-nsswitch-conf.aud

s15k-static-arp.aud

s15k-exclude-domains.aud

s15k-sms-secure-failover.aud

7. 環境変数

変数のカスタマイズと割り当て

静的変数の割り当て

動的変数の割り当て

複合置換変数の割り当て

グローバル変数およびプロファイルベース変数の割り当て

環境変数の作成

環境変数の使用

フレームワーク変数の定義

JASS_AUDIT_DIR

JASS_CHECK_MINIMIZED

JASS_CONFIG_DIR

JASS_DISABLE_MODE

JASS_DISPLAY_HOST_LENGTH

JASS_DISPLAY_HOSTNAME

JASS_DISPLAY_SCRIPT_LENGTH

JASS_DISPLAY_SCRIPTNAME

JASS_DISPLAY_TIME_LENGTH

JASS_DISPLAY_TIMESTAMP

JASS_FILE_COPY_KEYWORD

JASS_FILES_DIR

JASS_FINISH_DIR

JASS_HOME_DIR

JASS_HOSTNAME

JASS_ISA_CAPABILITY

JASS_LOG_BANNER

JASS_LOG_ERROR

JASS_LOG_FAILURE

JASS_LOG_NOTICE

JASS_LOG_SUCCESS

JASS_LOG_SUMMARY

JASS_LOG_WARNING

JASS_OS_REVISION

JASS_PACKAGE_DIR

JASS_PATCH_DIR

JASS_REPOSITORY

JASS_ROOT_DIR

JASS_ROOT_HOME_DIR

JASS_RUN_AUDIT_LOG

JASS_RUN_CHECKSUM

JASS_RUN_CLEAN_LOG

JASS_RUN_FINISH_LIST

JASS_RUN_INSTALL_LOG

JASS_RUN_MANIFEST

JASS_RUN_SCRIPT_LIST

JASS_RUN_UNDO_LOG

JASS_RUN_VALUES

JASS_RUN_VERSION

JASS_SAVE_BACKUP

JASS_SCRIPT_ERROR_LOG

JASS_SCRIPT_FAIL_LOG

JASS_SCRIPT_NOTE_LOG

JASS_SCRIPT_WARN_LOG

JASS_STANDALONE

JASS_TIMESTAMP

JASS_UNDO_TYPE

JASS_USER_DIR

JASS_VERBOSITY

JASS_ZONE_NAME

スクリプト動作変数を定義する

JASS_ACCT_DISABLE

JASS_ACCT_REMOVE

JASS_AGING_MAXWEEKS

JASS_AGING_MINWEEKS

JASS_AGING_WARNWEEKS

JASS_AT_ALLOW

JASS_BANNER_DTLOGIN

JASS_BANNER_FTPD

JASS_BANNER_SENDMAIL

JASS_BANNER_SSHD

JASS_BANNER_TELNETD

JASS_CORE_PATTERN

JASS_CPR_MGT_USER

JASS_CRON_ALLOW

JASS_CRON_DENY

JASS_CRON_LOG_SIZE

JASS_CRYPT_ALGORITHMS_ALLOW

JASS_CRYPT_DEFAULT

JASS_CRYPT_FORCE_EXPIRE

JASS_FIXMODES_DIR

JASS_FIXMODES_OPTIONS

JASS_FTPD_UMASK

JASS_FTPUSERS

JASS_KILL_SCRIPT_DISABLE

JASS_LOGIN_RETRIES

JASS_NOVICE_USER

JASS_PASSWD 環境変数

JASS_PASS_DICTIONDBDIR

JASS_PASS_DICTIONLIST

JASS_PASS_HISTORY

JASS_PASS_LENGTH

JASS_PASS_MAXREPEATS

JASS_PASS_MINALPHA

JASS_PASS_MINDIFF

JASS_PASS_MINDIGIT

JASS_PASS_MINLOWER

JASS_PASS_MINNONALPHA

JASS_PASS_MINSPECIAL

JASS_PASS_MINUPPER

JASS_PASS_NAMECHECK

JASS_PASS_WHITESPACE

JASS_POWER_MGT_USER

JASS_REC_PATCH_OPTIONS

JASS_RHOSTS_FILE

JASS_ROOT_GROUP

JASS_ROOT_PASSWORD

JASS_SADMIND_OPTIONS

JASS_SENDMAIL_MODE

JASS_SGID_FILE

JASS_SUID_FILE

JASS_SUSPEND_PERMS

JASS_SVCS_DISABLE

JASS_SVCS_ENABLE

JASS_TMPFS_SIZE

JASS_UNOWNED_FILE

JASS_WRITABLE_FILE

JumpStart モード変数を定義する

JASS_PACKAGE_MOUNT

JASS_PATCH_MOUNT

Copyright© 2005, Sun Microsystems, Inc. All rights reserved.