第 1 章 Trusted Solaris 7 への移行

Trusted Solaris 7 は、Solaris 7 オペレーティング環境のセキュリティを強化したものです。Trusted Solaris 7 は Trusted Solaris 2.5.1 のアップグレード版で、次のような変更点があります。

• 「SunOS 5.7 (Solaris 7) に対する Trusted Solaris 7 の変更点」

• 「CDE 1.3 に対する Trusted Solaris 7 の変更点」

• 「Solstice AdminSuite 2.3 に対する Trusted Solaris 2.5.1 の変更点」

• 「Trusted Solaris 2.5.1 から Trusted Solaris 7 への変更点」

• 「Sun Enterprise 10000 と Intel プラットフォームをサポートするために行われた Trusted Solaris 7 の変更点」

Trusted Solaris 7 は、Trusted Solaris 2.5.1 ではサポートされていない次のハードウェアをサポートします。

• Intel アーキテクチャ

• sun4u マシンである Sun Enterprise^TM 10000

SunOS 5.7 (Solaris 7) に対する Trusted Solaris 7 の変更点

特に記載しない限り、Trusted Solaris 7 は、64 ビットサポートや sendmail バージョン 8.8.8 など、Solaris 7 リリースの新しい機能をサポートします。次に挙げる Solaris 7 の機能は、Trusted Solaris 環境では動作が異なります。

• ネットワークプリンタはパイプの代わりにソケットを使用します。詳細は、「印刷」を参照してください。

• Trusted Solaris 7 は Solaris SUNWrdm パッケージを更新しません。最新情報は、『Trusted Solaris 7 リリースノート』を参照してください。

• Solaris 7 の traceroute(1M) コマンドは、Trusted Solaris 7 では Trusted Solaris セキュリティポリシーを実現します。Solaris 7 の ドア (door) インタフェースのセキュリティが強化されました。door_create(3x) と door_tcred(3x) のマニュアルページを参照してください。

• 次の Solaris インタフェースは、Trusted Solaris 7 ではサポートされません。

  • bsmconv(1M) と bsmunconv(1M)

  • rexecd(1M)

  • rusers(1)

  • spell(1)

  • talk(1)

Sun Enterprise 10000 と Intel プラットフォームをサポートするために行われた Trusted Solaris 7 の変更点

Sun Enterprise 10000 および Intel プラットフォームで安全なオペレーティング環境を使用できるように、Trusted Solaris 7 ではインストールと管理のセキュリティが強化されました。

Sun Enterprise 10000 の場合は、次の変更点があります。

• リモート (ヘッドレス) ワークステーションの管理については、ディレクトリ /usr/dt/man にインストールされている CDE マニュアルパッケージの新しい dtappsession(1) マニュアルページ (英語版のみ) を参照してください。このマニュアルページは、『Trusted Solaris 7 Reference Manual』にも含まれています。

• コマンド行によるログインはできません。新たにインストールする Sun Enterprise 10000 の管理は CDE を使ってリモートで行います。『Trusted Solaris 7 のインストールと構成 (Sun Enterprise 10000 版)』を参照してください。

Intel プラットフォームの場合は、次の変更点があります。

• Solaris^TM Web Start によるインストールはできません。

• Intel では、PROM の保護は BIOS の保護と同じことです。

CDE 1.3 に対する Trusted Solaris 7 の変更点

Trusted Solaris 7 は、新しいフロントパネル構成など、CDE 1.3 リリースの新機能をサポートします。さらに、ラベル、トラステッドストライプ、ファイルへの特権の割り当て、「管理用エディタ (Admin Editor)」など、ユーザーが使用する CDE の Trusted Solaris 機能も引き続きサポートします。CDE 1.3 で新たに追加された管理アクションは、Trusted Solaris 環境ではさらに安全性を高めます。管理アクションは「システム管理 (System_Admin)」フォルダにあります。

• 「フロッピーディスクを開く (Open Floppy)」や「CD-ROM を開く (Open CD-ROM)」など、フロントパネルのデバイスアクションはデバイス割り当てによって保護されます。Trusted Solaris のデバイス割り当てマネージャは「トラステッド・デスクトップ (Trusted Desktop)」サブパネルから使用できます。

• 「システム管理 (System_Admin)」フォルダには、Trusted Solaris 2.5.1 よりも多くの管理機能が含まれています。

---

注 -

アプリケーションマネージャは、フロントパネル左側の「Applications (アプリケーション)」サブパネルから呼び出すようになりました。端末エミュレータは、ワークスペースのバックグラウンドで右ボタンを押して表示されるワークスペース・メニューから呼び出すことができます。

---

Solstice AdminSuite 2.3 に対する Trusted Solaris 2.5.1 の変更点

Trusted Solaris 7 では、データベースマネージャ (tnrhdb、tnrhtp、tnidb) とユーザーマネージャに対する Trusted Solaris 2.5.1 のセキュリティ拡張機能が維持されます。さらに、セキュリティ管理者が実行プロファイルを管理するためのプロファイルマネージャも維持されます。Trusted Solaris 7 では、「Solstice アプリケーション (Solstice_Apps)」フォルダにあるデータベースに対し、これ以外の拡張は行われていません。

Trusted Solaris 2.5.1 から Trusted Solaris 7 への変更点

Trusted Solaris 7 の変更点は、ユーザー、管理者、および開発者に影響を及ぼします。変更は次の項目に対し行われています。

• 「承認および特権リストの変更」

• 「コマンドと関数」

• 「ファイルシステムとマウント」

• 「ラベル」

• 「インストールと構成」

• 「ログインとリモートログイン」

• 「マニュアルページ」

• 「印刷」

• 「システムの起動と停止」

インストールと構成

Trusted Solaris 2.5.1 のインストール手順には、ラベルの構成が含まれていました。Trusted Solaris 7 では、インストール担当者がインストールの後でラベルを構成する必要があります。

インストールの相違点

ほとんどのハードウェアでは Solaris 7 のインストールと同じですが、次の例外があります。

• Solaris^TM Web Start はサポートされません。

• Sun Enterprise^TM 10000 (E10000) (通称 Starfire^TM) は Trusted Solaris セキュリティ用にインストールします。詳細は、『Trusted Solaris 7 のインストールと構成 (Sun Enterprise 10000 版)』を参照してください。

Trusted Solaris 7 でサポートされる Solaris のインストール時の特徴は次のとおりです。

• Trusted Solaris のネットワークインストールと JumpStart^TM インストールは Solaris の場合と同じです。

• sys_unconfig(1M) がサポートされます。

• Trusted Solaris 2.5.1 のインストールとは異なり、Trusted Solaris 7 のインストールにはラベル構成オプションはありません。機密ラベルの構成は、インストール時ではなくインストール後に行います。したがって、ネットワークインストール用の Trusted Solaris 7 構成オプションはないため、config_data ファイルとそれに対応するマニュアルページは存在しません。

構成の相違点

デフォルトのラベル構成値を変更するには、セキュリティ管理者が /etc/system ファイルを編集します。

Stop-A 停止機構を有効にするには、セキュリティ管理者が /etc/default/kbd ファイルを編集します。

管理役割は、「システム管理 (System_admin)」フォルダの「エンコーディングの検査 (Check Encodings)」アクションを使用して、サイト固有の label_encodings ファイルをインストールできます。

ラベル

Trusted Solaris 7 のインストールでは、ラベルの構成は行われません (「インストールと構成」を参照)。『Trusted Solaris のラベル管理』には、ラベルに多数のコンパートメントを作成する方法が説明されています。Trusted Solaris 7 では、情報ラベルはサポートされません。

多数のコンパートメント

label_encodings ファイルに多数のコンパートメントを作成し、管理する方法については、『Trusted Solaris のラベル管理』で説明しています。

情報ラベル

Trusted Solaris 7 以降のリリースでは、情報ラベル (IL) はサポートされません。Trusted Solaris ソフトウェアは、以前のリリースが動作するシステムからの通信やファイルの IL を ADMIN_LOW とみなします。

オブジェクトは今後も CMW ラベルをもち、CMW ラベルには IL[SL] のように IL 構成要素が含まれますが、IL 構成要素は ADMIN_LOW に固定されます。

その結果、Trusted Solaris 7 では次のようになります。

• IL はウィンドウラベルには表示されません。SL (機密ラベル) だけが [ ] 内に表示されます。

• IL は浮上しません。

• オブジェクトに IL を設定しても効果はありません。オブジェクトの IL を取得すると、常に ADMIN_LOW が返されます。

• 一定のユーティリティ、ライブラリ関数、およびシステムコールでは IL 文字列を操作できますが、その結果の IL はどのオブジェクトにも設定できません。

• 機密ラベル (情報ラベルではない) が、プリンタバナーおよび本文ページに印刷されます。

• label_encodings(4) ファイル内の情報ラベルに関連するオプションは無視してかまいません。

• IL 関連の特権は使用できません。「承認および特権リストの変更」を参照してください。

• 監視機能では、ilabel トークンが記録されるときに ADMIN_LOW として記録されます。監視イベント番号 519 (AUE_OFLOAT)、520 (AUE_SFLOAT)、9036 (AUE_iil_change) は今後も予約番号ですが、これらのイベントは記録されません。

印刷

Solaris 7 の印刷機能に Trusted Solaris のセキュリティが追加されたため、Trusted Solaris 環境での印刷にいくつかの変更点があります。

• 印刷機能を制御する印刷承認が追加されました。Trusted Solaris 2.5.1 が特権を検査していたのに代わり、Trusted Solaris 7 は承認を検査します。「承認および特権リストの変更」を参照してください。

• ネットワークプリンタは、Trusted Solaris の印刷サーバーに直接接続されているときだけトラステッド印刷を行います。

• ネットワークプリンタは、シングルラベルでラベルを出力せずに印刷するように、ネットワーク上のスタンドアロンノードとして構成できます。それには、IP アドレスとホスト名をプリンタに割り当てます。詳しい手順については、『Trusted Solaris 管理の手順』を参照してください。

• トラステッドプリンタからシングルラベルプリンタに印刷するユーザーは、待ち行列にあるジョブをリストしたり、削除したりできません。

コマンドと関数

製品の技術的な変更と非標準インタフェースの削除により、コマンドと関数が変更されました。

• Pluggable Authentication Module (PAM) によって、カスタマは、カスタマイズした静的ランダムワード関数をプラグインできます。

• 次の /usr/proc/bin/ にあるコマンドは標準インタフェースをもちます。

  • pattr(1)

  • pclear(1)

  • plabel(1)

  • ppriv(1)

• Trusted Solaris 2.5.1 の mldstat() と mldlstat() システムコールは、Trusted Solaris 7 ではライブラリルーチンです。

• runpd(1M) コマンドの設定手順がわずかに変更されています。

マニュアルページ

マニュアルページの形式と命名方法が変わりました。マニュアルページは AnswerBook2^TM で表示できます。製品の機能変更に伴い、それに対応するマニュアルページが変更されました。

• マニュアルページは SGML (Standardized General Markup Language) 形式です。オンラインのマニュアルコマンドが SGML を処理します。印刷は troff 形式で出力されます (英語版マニュアルページのみ)。

• Trusted Solaris マニュアルページは SUNWman パッケージの一部です。セクション名の末尾に拡張子 tsol は付加されません。Trusted Solaris 環境でマニュアルページを表示する場合、Solaris 7 環境と同じ構文を使用します。

  man setfsattr man -s2 chmod man ls

• AnswerBook2 はブラウザベースになりました。Trusted Solaris 2.5.1 の answerbook コマンド (/usr/openwin/bin/answerbook) はこの機能をサポートしていません。Sun の Solaris 7 および Trusted Solaris 7 のマニュアルを表示するには、/usr/dt/bin/answerbook2 コマンドを使用するか、フロントパネルの「ヘルプ」メニューで「AnswerBook2」オプションを選択します。

• インストール方法の変更に伴い、次のマニュアルページには Trusted Solaris 固有の変更は行われていません。

  • install_scripts(1M)

  • add_install_client(1M)

  • rm_install_client(1M)

  • setup_install_server(1M)

• 機能の変更に伴い、次のマニュアルページが移動または追加されました。

  • dtappsession(1) - CDE マニュアルページに追加されました。

  • mldstat(3) と mldlstat(3) - システムコールからライブラリルーチンに移動しました。

  • door_create(3x) と door_tcred(3x) - Trusted Solaris セキュリティが追加されました。

  • pam_tp_auth(5) と pam_tsol(5) - Trusted Solaris セキュリティが追加されました。

  • kbd(1) - Trusted Solaris セキュリティが追加されました。「システムの起動と停止」を参照してください。

• 実装方法の変更に伴い、次のマニュアルページが削除されました。

  • config_data(4TSOL)

  • msgrcvl(2TSOL)

  • msgsndl(2TSOL)

  • semopl(2TSOL)

ファイルシステムとマウント

Trusted Solaris 7 におけるファイルシステムのセキュリティ属性の実装方法は、Trusted Solaris 2.5.1 ではなく Solaris 7 と同じです。属性がファイルシステムの i ノードに格納されていたのに代わり、オペレーティングシステムがファイルシステムセキュリティ属性を管理します。その結果、Trusted Solaris 7 の管理者には次の影響があります。

マウント時のセキュリティ属性を指定するには、コマンド行で mount(1M) コマンドの -S オプションを使用するか、vfstab_adjunct ファイルに属性を指定します。マウント時のセキュリティ属性は、ファイルシステムに対する既存のセキュリティ属性を置き換えます。しかし、そのファイルシステム内のファイルやディレクトリに対するセキュリティ属性を置き換えることはありません。アクセス制御を決定するときには、ファイルシステムレベルまたはマウント時に指定されたセキュリティ属性よりも、ファイルおよびディレクトリに対するセキュリティ属性の方が優先されます。

• ファイルシステムのセキュリティ属性の割り当てに tsol_attr フラグは使用しません。このフラグは削除されました。

ログインとリモートログイン

「ログインを有効にする (Enable Logins)」ダイアログボックスの選択肢が増えました。

プロファイルで役割に remote login 承認が与えられます。スーパーユーザーの役割に対するこの承認は、Maintenance and Repair プロファイルに入っています。役割によってリモートログインを行うには、リモートログインするホストごとに別の手順が必要です。この手順については、『Trusted Solaris 管理の手順』を参照してください。

Trusted Solaris 2.5.1 では、/etc/default/passwd ファイルに MAXBADLOGINS のデフォルト値として 3 が ファイルに設定されていました。Trusted Solaris 7 では Solaris モデルに従います。/etc/default/login ファイルに変数 RETRIES の デフォルト値として 5 が設定されます。

システムの起動と停止

Trusted Solaris 2.5.1 では、ユーザーが Stop-A シーケンスを使ってコンピュータを停止できるようにするには、管理者が /etc/system ファイルの abort_enable キーワードに 1 を設定しました。Trusted Solaris 7 では、管理者が /etc/default/kbd ファイルの #KBD_ABORT=enable 行をコメント解除します。デフォルトでは、Stop-A シーケンスは無効になっています。

承認および特権リストの変更

承認と特権のリストが変更になりました。新しい承認、削除された特権、新しい特権があります。承認は、意味を示す定数の代わりに数字で扱われます。

印刷システムに関して、次の承認が追加されました。

• TSOL_AUTH_PRINT_CANCEL

• TSOL_AUTH_PRINT_LIST

• TSOL_AUTH_PRINT_MAC_OVERRIDE

特権 PRIV_SYS_SYSTEM_DOOR が追加されました。

IL に関連する次の特権が削除されました。

• PRIV_FILE_DOWNGRADE_IL

• PRIV_FILE_NOFLOAT

• PRIV_FILE_UPGRADE_IL

• PRIV_IPC_DOWNGRADE_IL

• PRIV_IPC_NOFLOAT

• PRIV_IPC_UPGRADE_IL

• PRIV_NET_DOWNGRADE_IL

• PRIV_NET_NOFLOAT

• PRIV_NET_UPGRADE_IL

• PRIV_PROC_NOFLOAT

• PRIV_PROC_SETIL

• PRIV_WIN_DOWNGRADE_IL

• PRIV_WIN_NOFLOAT

• PRIV_WIN_UPGRADE_IL