| Solaris Security Toolkit 4.2 リファレンスマニュアル |    
|
| Solaris Security Toolkit 4.2 リファレンスマニュアル |
|
第3章 |
|
この章では、Solaris Security Toolkit ソフトウェアに含まれているファイルテンプレートを使用、変更、およびカスタマイズする方法について説明します。また、ドライバが関数を処理する方法と、ファイルテンプレートに格納されているその他の情報を処理する方法についても説明します。
ファイルテンプレートは、Solaris Security Toolkit ソフトウェアの重要な構成要素です。テンプレートファイルは、環境変数、OS バージョン番号、キーワード、およびクライアントホスト名を使用して、ユーザーがスクリプトを簡単にカスタマイズおよび配布するためのメカニズムを提供します。Files ディレクトリ内のファイルを終了および監査スクリプトと組み合わせて使用すると、利用するセキュリティープロファイル (ドライバ) の設計に応じて、必要な変更を特定することができます。
この節では、Files ディレクトリでのファイルの新規作成方法を含む、ファイルテンプレートのカスタマイズ方法と推奨事項について説明します。
ドライバ、終了スクリプト、および監査スクリプトのカスタマイズについては、以下の章を参照してください。
|
注 - カスタマイズしたファイルをより多くのユーザーのために役立てたいときは、拡張機能要求を提出することをご検討ください。Solaris Security Toolkit 開発チームは、ユーザーに役立つようソフトウェアを改善する方法を常に求めております。 |
|
ファイルテンプレート (ファイル) をカスタマイズするには、次の手順を実行します。このカスタマイズでは、Solaris Security Toolkit ソフトウェアのカスタムバージョンを使用可能にするとともに、リリースされたソフトウェアの新バージョンがシステムにインストールされたときに、そのカスタムバージョンが上書きされないようにします。
1. カスタマイズするファイルとその関連ファイルをコピーします。
2. コピーしたファイルを、カスタムファイルとして識別される名前に変更します。
推奨事項については、『Solaris Security Toolkit 4.2 管理マニュアル』の第 1 章「Solaris Security Toolkit ソフトウェアの構成およびカスタマイズ」を参照してください。
3. 必要な場合、この一意の名前が付いたファイルが呼び出されるように、カスタムドライバを変更します。
次のサンプルコードでは、JASS_FILES 環境変数を変更して、特定のホストにコピーするファイルをカスタマイズしています。
このサンプルコードでは、カスタマイズされたセキュリティー強化用のドライバ abccorp-server-hardening.driver が、カスタムの nddconfig ファイルを使用します。Solaris Security Toolkit ソフトウェアが更新されたら新バージョンで上書きされる可能性のある、元の nddconfig ファイルを変更する代わりに、コピー先システムのホスト名を Files ディレクトリにあるファイル名の最後に付加して、カスタムの nddconfig スクリプトを作成します。次の例では、スクリプトファイル名にコピー先システムのホスト名が付いた、カスタムの nddconfig スクリプトを示しています。
ファイルは、JASS_FILES 環境変数や JASS_FILE_OS_VERSION 環境変数などの、ある種の環境変数を定義した方法に基づいて、自動的に JASS_HOME_DIR/Files ディレクトリからコピーされます。すべての環境変数についての詳細は、第 7 章を参照してください。
Solaris Security Toolkit ソフトウェアは、JASS_HOME_DIR/Files ディレクトリ内の複数のファイルを見分けるとともに、JASS_FILES や JASS_FILE_OS_VERSION などの環境変数の定義についても識別します。
コピーするファイルは、次の条件で選択され、照合に使用される優先度順にリストされています。たとえば、ホスト固有ファイルと汎用ファイルの両方が存在し、対象システムの名前がホスト固有ファイルで定義されているホスト名と一致する場合には、ホスト固有ファイルが使用されます。次の例では、JASS_HOME_DIR 環境変数で指定された /opt/SUNWjass をホームディレクトリとして使用しますが、ユーザーによっては別のホームディレクトリを指定している場合があります。この例では、検索対象のディレクトリツリーは /opt/SUNWjass/Files/ です。
|
注 - copy_files 関数では、リストに指定されていても JASS_HOME_DIR/Files ディレクトリツリーで検出されないオブジェクトは無視します。 |
1. ホスト固有のバージョン - /opt/SUNWjass/Files/file.JASS_HOSTNAME
このオプションでは、ホスト対象プラットフォームの名前と JASS_HOSTNAME 環境変数で指定した値が一致する場合にのみ、ファイルがコピーされます。たとえば、ファイル名が etc/issue で JASS_HOSTNAME が eng1 である場合、この条件の下でコピーされるファイルは次のとおりです。
/opt/SUNWjass/Files/etc/issue.eng1
2. キーワード + OS 固有のバージョン - /opt/SUNWjass/Files/file+JASS_FILE_COPY_KEYWORD+JASS_OS_VERSION
このオプションでは、キーワードと OS バージョンの名前が、JASS_FILE_COPY_KEYWORD 環境変数および JASS_OS_VERSION 環境変数で指定した値と一致する場合にのみ、ファイルがコピーされます。
たとえば、検索されるファイルが /etc/hosts.allow であり、JASS_FILE_COPY_KEYWORD が「secure」(secure.driver の場合) であり、かつ JASS_OS_VERSION が 5.10 である場合、この条件の下でコピーされるファイルは次のとおりです。
/opt/SUNWjass/Files/etc/hosts.allow-secure+5.10
3. キーワード固有のバージョン - /opt/SUNWjass/Files/file+JASS_FILE_COPY_KEYWORD
このオプションでは、JASS_FILE_COPY_KEYWORD 環境変数で指定された値にキーワードが一致する場合にのみ、ファイルがコピーされます。たとえば、JASS_FILE_COPY_KEYWORD が「server」である場合、この条件の下でコピーされるファイルは次のとおりです。
/opt/SUNWjass/Files/etc/hosts.allow-server
4. OS 固有のバージョン - /opt/SUNWjass/Files/file+JASS_OS_REVISION
このオプションでは、対象プラットフォームの OS リビジョンと、JASS_HOSTNAME 環境変数で指定した値が一致する場合にのみ、ファイルがコピーされます。たとえば、検索されるファイルが /etc/hosts.allow であり、JASS_OS_REVISION が「5.10」である場合、この条件の下でコピーされるファイルは次のとおりです。
/opt/SUNWjass/Files/etc/hosts.allow+5.10
5. 汎用バージョン - /opt/SUNWjass/Files/file
このオプションでは、ファイルが対象システムにコピーされます。
たとえば、ファイル名が etc/hosts.allow である場合、この条件の下でコピーされるファイルは次のとおりです。
/opt/SUNWjass/Files/etc/hosts.allow
6. コピー元ファイルのサイズが 0 - ファイルの長さまたはサイズがゼロの場合には、そのファイルはシステムにコピーされません。
環境変数を参照する構成ファイルを編集することによって、Solaris Security Toolkit ソフトウェアを構成することができます。この機能を使用すると、終了スクリプトや監査スクリプトを直接変更することなく、さまざまな環境で Solaris Security Toolkit ソフトウェアドライバを使用できるようになります。
Solaris Security Toolkit 環境変数はすべて、構成ファイルで維持管理されています。これらの構成ファイルはドライバによってインポートされ、ドライバから呼び出されたときに、終了スクリプトと監査スクリプトで変数を使用できるようになります。
Solaris Security Toolkit ソフトウェアには、以下の 3 つの主要構成ファイルがあり、すべて Drivers ディレクトリに格納されています。
このファイルには、Solaris Security Toolkit ソフトウェアのフレームワークとすべての操作を定義する環境変数が含まれています。
|
注 - driver.init ファイルは、Solaris Security Toolkit ソフトウェアを新しいバージョンにアップグレードするときに上書きされるため、変更しないでください。 |
driver.init スクリプトには、JASS_VERSION や JASS_ROOT_DIR などのコアの環境変数が含まれます。
このスクリプトは user.init スクリプトを読み込むことにより、ユーザー変数や環境変数の優先指定を組み込みます。また、このスクリプトは finish.init ファイルの内容を読み込んで、定義されていない可能性のある終了スクリプト変数を設定します。このスクリプトは、ドライバで使用されるパブリックインタフェースとしての役割を果たし、Solaris Security Toolkit ソフトウェアで使用されるすべての変数を読み込みます。これ以外の初期設定関数は、ドライバ、終了スクリプト、または監査スクリプトのいずれかにより直接アクセスするようには設計されていません。
この .init スクリプトに含まれる各環境変数については、第 7 章で説明します。
このファイルには、個々の終了スクリプトの動作を定義する環境変数が含まれています。システムのセキュリティー強化方法に影響を与えるのは、以下の 2 つの要素です。
|
注 - finish.init ファイルは、Solaris Security Toolkit ソフトウェアを新しいバージョンにアップグレードするときに上書きされるため、変更しないでください。 |
この .init スクリプトに含まれる各環境変数については、第 7 章で説明します。
user.init ファイルで変数を定義すると、この変数を driver.init ファイルと finish.init ファイルで定義した変数より優先させることができます。このファイルには、ユーザー定義変数を追加することもできます。管理者はこの機能を使用すると、Solaris Security Toolkit ソフトウェアそれ自体を変更することなく、実際の使用環境のニーズと要件に合わせて、Solaris Security Toolkit ソフトウェアをカスタマイズできます。
user.init.SAMPLE は、Solaris Security Toolkit ソフトウェアが正常に機能するために定義しなければならない項目を示すサンプルファイルです。user.init.SAMPLE ファイルを user.init にコピーしてから、環境に合うように変更します。user.init ファイルは Solaris Security Toolkit ソフトウェアには含まれていないため、このファイルを作成してカスタマイズしても、このソフトウェアを新しいバージョンにアップグレードする際に上書きされることはありません。
user.init ファイルでは、以下の環境変数のデフォルト値を提供しています。
この 2 つの変数のデフォルト値は、それぞれ JumpStart-server-IP address/jumpstart/Packages と JumpStart-server-IP address/jumpstart/Patches です。これらのデフォルト値は、『Solaris Security Toolkit 4.2 管理マニュアル』の第 5 章と、Sun BluePrints
マニュアル『JumpStart Technology: Effective Use in the Solaris Operating Environment』で推奨されている値です。これらの資料に記載されている推奨値を使用する場合は、user.init.SAMPLE ファイルで変更する必要はありません。このファイルをそのまま user.init にコピーしてください。
ただし、JumpStart 環境を別の使用環境に移行する場合は、使用している JumpStart サーバーとディレクトリパスを参照するように変更する必要があるので、これらの変数を確認してください。上記の各環境変数については、第 7 章で説明します。
user.init ファイルを使用すると、JASS_SVCS_ENABLE、JASS_SVCS_DISABLE などのその他の環境変数を変更することもできます。しかし、変数が特定のドライバですでに使用されている場合もあるので、Solaris Security Toolkit ソフトウェアの動作を変更するときは慎重に行う必要があります。
たとえば、suncluster3x-secure.driver は JASS_SVCS_ENABLE を使用して、/etc/inetd.conf ファイルの特定のサービスを有効にしています。他のサービスを有効にしたい場合は、suncluster3x ドライバファイルをコピーして、そのコピーファイルをカスタマイズし、JASS_SVCS_ENABLE の定義をコメントアウトして、新しい JASS_SVCS_ENABLE の定義を user.init ファイルに追加します。
変数定義の順序に基づいて、user.init ファイルに含まれているすべての定義は、その変数のそのほかのすべての定義を上書きします。それでも、必須ではありませんが、suncluster3x-secure.driver で JASS_SVCS_ENABLE をコメントアウトすることをお勧めします。
|
注 - pkgrm コマンドを使って SUNWjass を削除すると、user.init および user.run ファイルが作成されている場合、これらのファイルは削除されません。ただし、Files ディレクトリと sysidcfg ファイルは現在の Solaris Security Toolkit ソフトウェアに含まれているので、これらは削除されます。 |
|
次の操作で、user.init スクリプトに環境変数を追加できます。
2. 新しい変数を user.init ファイルにエクスポートします。
この処理ではグローバルなデフォルト値がエクスポートされますが、セキュリティープロファイル (ドライバ) 内でこの値を無効にすれば、後で必要に応じて変更が可能です。
新しい変数 JASS_ACCT_DISABLE を user.init ファイルに追加して、ユーザーアカウントリストを無効にするコードを、コード例 3-1 に示します。終了スクリプトの実行時に、アカウントが無効になります。
|
注 - user.run スクリプトには、環境変数を追加したり、そのほかの変更を行ったりしないでください。ユーザーは user.run スクリプトを変更できません。すべての環境変数の上書きは user.init に含まれている必要があります。 |
|
コード例 3-2 に、user.init ファイルを使用して変数にエントリを追加する方法を示します。
Solaris Security Toolkit ソフトウェアは、JASS_FILES 環境変数と copy_files 関数が含まれた Files ディレクトリを使用します。このディレクトリにはファイルテンプレートが格納されており、このテンプレートは、セキュリティー強化実行時に JumpStart クライアントにコピーされます。
以下のファイルテンプレートが Files ディレクトリに格納されています。また以下の項でこれらの各ファイルを説明します。
この構成ファイルは、サンプルとして用意されています。ファイルの完了や履歴など、いくつかの共通 csh 変数を設定して、csh ユーザーに基本的な構成を提供します。また、現在の作業ディレクトリへのパスを含むコマンド行プロンプトだけでなく、kill および erase 端末オプションも設定します。
ROOT_HOME_DIR がスラッシュ (/) である場合、set-root-home-dir.fin スクリプトによりインストールされます。それ以外の場合、ROOT_HOME_DIR がデフォルト値 /root であれば、Solaris Security Toolkit は root/.cshrc を使用します。
この構成ファイルは、サンプルとして用意されています。この構成ファイルは、Solaris Security Toolkit ソフトウェアとともに配布される際に、開始された root sh シェルに対して、UMASK、PATH、および MANPATH の定義のみを行います。
ROOT_HOME_DIR がスラッシュ (/) である場合、set-root-home-dir.fin スクリプトによりインストールされます。それ以外の場合、ROOT_HOME_DIR がデフォルト値 /root であれば、Solaris Security Toolkit は root/.profile を使用します。
Solaris 8 OS では、キュー処理モードのみで sendmail を実行するために、sendmail 構成ファイルを使用することができました。このファイルがコピーされるのは、disable-sendmail.fin スクリプトでセキュリティー強化された Solaris 8 OS システムだけです。
disable-sendmail.fin スクリプトは OS のバージョンに対応しており、セキュリティー強化される OS に応じて sendmail の動作を変更します。詳細については、Sun BluePrints OnLine 掲載記事『Solaris Operating Environment Security: Updated for Solaris 9 OE』を参照してください。
デフォルトでは、このファイルは disable-sendmail.fin によって、セキュリティー強化する Solaris 8 OS にコピーされます。
このファイルは、システム上で稼動している X サーバーへの遠隔アクセスを、直接またはブロードキャストにかかわらず、すべて無効にします。X のサポート要件と、Solaris Security Toolkit ソフトウェアの使用環境によっては、このファイルが適していない場合もあります。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは、ファイル転送プロトコル (FTP) サービスの接続バナーを定義します。
デフォルトでは、このファイルは server-secure.driver によって、set-banner-ftpd.fin スクリプトにより強化されているシステムにコピーされます。
|
注 - この 2 つのファイルは、Solaris OS バージョン 9 および 10 を実行しているシステムでのみ使用します。 |
この 2 つのファイルは、enable-tcpwrappers.fin 終了スクリプトによって Solaris 9 および 10 OS システムにインストールされます。hosts.allow ファイルと hosts.deny ファイルをインストールしたあと、次の操作により、終了スクリプトでトランスミッションコントロールプロトコル (TCP) ラッパーが有効になります。
hosts.allow ファイルと hosts.deny ファイルは、ローカルポリシー、手順、および要件に基づいて、セキュリティープロファイルをカスタマイズするためのサンプルファイルです。hosts.allow ファイルのセキュリティー保護されたバージョンのドライバでは、許可される Solaris Secure Shell (SSH) アクセスを LOCAL と定義しています。これは、システムが接続されているサブネットからのみ SSH 接続が許可されることを意味します。hosts.deny ファイルのセキュリティー保護されたバージョンのドライバでは、hosts.allow で許可されていない接続を試みてもすべて拒否されます。
デフォルトでは、このファイルは enable-tcpwrappers.fin によって、セキュリティー強化するシステムにコピーされます。
Sun Fire ハイエンドシステム用のこの hosts.allow ファイルは、tcpwrappers(4) コマンドを使用したアクセスの制御に使用します。このファイルは enable-tcpwrappers.fin スクリプトによりインストールされ、サイトの要件を満たすように構成する必要があります。
Sun Fire ハイエンドシステム以外の Sun サーバー用のこの hosts.allow ファイルは、tcpwrappers(4) コマンドを使用したアクセスの制御に使用します。このファイルは enable-tcpwrappers.fin スクリプトによりインストールされ、サイトの要件を満たすように構成する必要があります。
Sun Cluster システム用のこの hosts.allow ファイルは、tcpwrappers(4) コマンドを使用したアクセスの制御に使用します。このファイルは enable-tcpwrappers.fin スクリプトによりインストールされ、サイトの要件を満たすように構成する必要があります。
|
注意 - suncluster3x-secure.driverを適用したあと、hosts.allow-sunclusterファイルには、クラスタノードの完全指定のドメイン名を追加する必要があります。 |
このファイルは、ネットワーク設定の実装に必要な nddconfig 起動スクリプトをコピーし、セキュリティーを向上させます。セキュリティーに関するネットワーク設定については、Sun BluePrints OnLine 掲載記事『Solaris Operating Environment Network Settings for Security: Updated for the Solaris 9 Operating Environment』を参照してください。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは、システムの再起動時に、/tmp ディレクトリと /var/tmp ディレクトリに対する正しいアクセス権を設定します。矛盾が検出された場合は、その内容が標準出力先に出力されて、SYSLOG によって記録されます。S01MOUNTFSYS からの mountall コマンドの実行前と実行後にチェックが実行されるように、このファイルは /etc/rc2.d に 2 回インストールされます。このチェックを行うことにより、マウントポイントとマウントされるファイルシステムの双方で、正しいアクセス権と所有権を持つことができます。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは、/etc/rc2.d/S73sms_arpconfig、/etc/sms_domain_arp、および /etc/sms_sc_arp ファイルと組み合わせて Sun Fire ハイエンドシステムで使用します。内部の IP ベース管理ネットワーク上に静的なアドレス解決プロトコル (ARP) を実装して、セキュリティーを向上させます。これらの機能の使用方法の詳細については、Sun BluePrints OnLine 掲載記事『Securing the Sun Fire 12K and 15K System Controllers』と『Securing the Sun Fire 12K and 15K Domains』を参照してください。
デフォルトでは、このファイルは s15k-static-arp.fin によって、セキュリティー強化するシステムにコピーされます。
このファイルは disable-nfs-client.[fin|aud] スクリプトにより使用され、NFS が無効であっても swapadd コマンドを使用してスワップ空間が追加されるようにします。
この 2 つのファイルは、アメリカ合衆国政府の勧告に基づいたもので、ユーザーの活動がモニターされる可能性があるという法律上の通知を表示します。組織独自の法律上のバナーを表示する場合は、そのバナーをこの 2 つのファイルに組み込みます。
この 2 つのファイルはデフォルトのテンプレートとして提供されています。組織に適用する通知については、弁護士に作成や検討を依頼するようにしてください。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは、/etc/notrouter ファイルを作成することにより、Solaris OS 9 またはそれ以前のリリースを実行しているシステム上のインタフェース間で IP 転送を無効にするために使用します。ネットワークインタフェースの数にかかわらず、クライアントはルーターとして機能しなくなります。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは一般的な ipfilter 構成ファイルで、ipfilter サービス (svc:/network/ipfilter:default) により使用されます。このサービスは enable-ipfilter.fin スクリプトにより有効にされ、ファイルがインストールされます。このファイルは、サイトの要件を満たすように構成する必要があります。
このファイルは Sun Fire ハイエンドシステムシステムコントローラ用の ipfilter 構成ファイルで、ipfilter サービス (svc:/network/ipfilter:default) により使用されます。このサービスは enable-ipfilter.fin スクリプトにより有効にされ、ファイルがインストールされます。このファイルは、サイトの要件を満たすように構成する必要があります。
このファイルは Sun サーバー用の ipfilter 構成ファイルで、ipfilter サービス (svc:/network/ipfilter:default) により使用されます。このサービスは enable-ipfilter.fin スクリプトにより有効にされ、ファイルがインストールされます。このファイルは、サイトの要件を満たすよう構成する必要があります。
|
注 - この 2 つのファイルは、/etc/init.d/set-tmp-permissions へのシンボリックリンクです。 |
これらのファイルは、システムの再起動時に、/tmp ディレクトリと /var/tmp ディレクトリに対する正しいアクセス権を設定します。矛盾が検出された場合は、その内容が標準出力先に出力されて、SYSLOG によって記録されます。S01MOUNTFSYS からの mountall コマンドの実行前と実行後にチェックが実行されるように、このスクリプトは /etc/rc2.d に 2 回インストールされます。このチェックを行うことにより、マウントポイントとマウントされるファイルシステムの双方で、正しいアクセス権と所有権を持つことができます。
デフォルトでは、これらのファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは、ネットワーク設定の実装に必要な S70nddconfig 起動スクリプトをコピーして、セキュリティーを向上させます。Sun BluePrints OnLine 掲載記事『Solaris Operating Environment Network Settings for Security: Updated for Solaris 9 Operating Environment』を参照してください。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
このファイルは、/etc/init.d/sms_arpconfig、/etc/sms_domain_arp、および /etc/sms_sc_arp とともに Sun Fire ハイエンドシステムで使用します。内部の IP ベース管理ネットワーク上に静的なアドレス解決プロトコル (ARP) を実装して、セキュリティーを向上させます。これらの機能の使用方法の詳細については、Sun BluePrints OnLine 掲載記事『Securing the Sun Fire 12K and 15K System Controllers』と『Securing the Sun Fire 12K and 15K Domains』を参照してください。
デフォルトでは、このファイルは s15k-static-arp.fin によって、セキュリティー強化するシステムにコピーされます。
このファイルは、disable-nfs-client.fin の実行時にインストールされます。通常、disable-nfs-client.fin でスワップ空間が開始されるときに、このタスクを実行するために、Solaris Security Toolkit ソフトウェアによってこの実行コントロールスクリプトが追加されます。
これはSolaris OS 監査サブシステム用の構成ファイルで、Solaris 基本セキュリティーモジュールとも呼ばれます。このファイルを Solaris 8、9、または 10 OS システムに追加すると、監査サブシステムが構成されます。
このファイルは Solaris Security Toolkit ソフトウェアによって、Solaris 8、9、および 10 OS システムにインストールされます。詳細については、Sun BluePrints OnLine 掲載記事『Auditing in the Solaris 8 Operating Environment』を参照してください。
デフォルトでは、これらのファイルは enable-bsm.fin によって、セキュリティー強化する Solaris 8、9、または 10 OS にコピーされます。
これらはSolaris OS 監査サブシステム用の構成ファイルで、Solaris 基本セキュリティーモジュールとも呼ばれます。これらのファイルを Solaris 8 OS システムに追加すると、監査サブシステムが構成されます。
これらのファイルは Solaris Security Toolkit ソフトウェアによって、Solaris 8 OS システムにインストールされます。詳細については、Sun BluePrints OnLine 掲載記事『Auditing in the Solaris 8 Operating Environment』を参照してください。
デフォルトでは、これらのファイルは enable-bsm.fin によって、セキュリティー強化する Solaris 8 OS にコピーされます。
これらはSolaris OS 監査サブシステム用の構成ファイルで、Solaris 基本セキュリティーモジュールとも呼ばれます。これらのファイルを Solaris 9 OS システムに追加すると、監査サブシステムが構成されます。
これらのファイルは Solaris Security Toolkit ソフトウェアによって、Solaris 9 OS システムにインストールされます。詳細については、Sun BluePrints OnLine 掲載記事『Auditing in the Solaris 8 Operating Environment』を参照してください。
デフォルトでは、これらのファイルは enable-bsm.fin によって、セキュリティー強化する Solaris 9 OS にコピーされます。
この 2 つのファイルは、/etc/init.d/sms_arpconfig ファイルと /etc/S70sms_arpconfig ファイルとともに Sun Fire ハイエンドシステムで使用します。内部の IP ベース管理ネットワーク上に静的なアドレス解決プロトコル (ARP) を実装して、セキュリティーを向上させます。これらの機能の使用方法の詳細については、Sun BluePrints OnLine 掲載記事『Securing the Sun Fire 12K and 15K System Controllers』と『Securing the Sun Fire 12K and 15K Domains』を参照してください。
デフォルトでは、これらのファイルは s15k-static-arp.fin によって、セキュリティー強化するシステムにコピーされます。
このファイルは、詳細な記録を行います。独自の中央ログサーバーを追加する組織にとっては、プレースホルダとしての役割を果たすため、事前のログ分析を実行できます。
デフォルトでは、このファイルは hardening.driver によって、セキュリティー強化するシステムにコピーされます。
この構成ファイルは、サンプルとして用意されています。ファイルの完了や履歴など、いくつかの共通 csh 変数を設定して、csh ユーザーに基本的な構成を提供します。また、現在の作業ディレクトリへのパスを含むコマンド行プロンプトだけでなく、kill および erase 端末オプションも設定します。
この構成ファイルは、サンプルとして用意されています。この構成ファイルは、Solaris Security Toolkit ソフトウェアとともに配布される際に、開始された root sh シェルに対して、UMASK、PATH、および MANPATH の定義のみを行います。
この規則ファイルは、Solaris 10 OS システムの enable-bart{.fin|aud} スクリプトで、Basic Auditing and Reporting Tool (BART) により使用されます。規則ファイルの詳細は、enable-bart.finを参照してください。
この規則ファイルは、Solaris 10 OS システムの enable-bart{.fin|aud} スクリプトで、Basic Auditing and Reporting Tool (BART) 用の secure.driver により使用されます。規則ファイルの詳細は、enable-bart.finを参照してください。
| Solaris Security Toolkit 4.2 リファレンスマニュアル | 819-3793-10 |
|
Copyright© 2005, Sun Microsystems, Inc. All rights reserved.
ファイルテンプレートをカスタマイズするには