Solaris ネットワークコマンドとの相違点

この項で説明する次のネットワークコマンドは、Solaris の基本コマンドを Trusted Solaris 環境の操作向けに変更したものです。

• arp

• ifconfig

• netstat

• route

• snoop

• spray

• ndd

• rdate

arp

arp(1M) コマンドを使用すると、アドレス解決プロトコルに使用されるインターネットと Ethernet 間での変換テーブルを表示、変更できます。Trusted Solaris 版の arp コマンドにオプション -d、-s または -f を付けて実行するには、sys_net_config 特権の継承が必要です。-a オプションを使用する場合は、実効 UID を 0 に指定し ADMIN_HIGH で実行する必要があります。ただし、この制約は、file_mac_read 特権、file_dac_read 特権によって無効にできます。

ifconfig

ifconfig(1M) コマンドを使用すると、ネットワークパラメータを構成し、ネットワークインタフェースにアドレスを割り当てることができます。Trusted Solaris 版の ifconfig コマンドには、sys_net_config 特権が必要です。ether、auto-revarp、plumb の各オプションを使用するには、スーパーユーザーだけが読み取ることのできる ADMIN_HIGH のネットワークデバイスを開く必要があります。これらのオプションは、実効 UID が 0 に指定された ADMIN_HIGH で使用できます。また、file_dac_read 特権、file_mac_read 特権で無効にすることもできます。

ndd

ndd(1M) コマンドの -set オプションを使用してドライバパラメータを設定するには、sys_net_config 特権の継承が必要です。

netstat

netstat(1M) コマンドは、ネットワーク関連のデータ構造 (ソケット、ルーティングテーブルなどの構造) の内容を、さまざまな形式で表示します。異なるネットワークに接続されたホストと通信する際は、netstat -rn と入力し、ゲートウェイが構成されていることを確認します。Trusted Solaris 版の netstat コマンドを使用して、カーネル情報およびネットワーク構成情報にアクセスするには、機密ラベルが ADMIN_HIGH でなくてはなりません。この制約は、file_mac_read 特権で無効にできます。

-R オプションを使用すると、セキュリティ情報のほかに、動的ルーティングテーブルに含まれる各経路のメトリック情報も表示できます。ただし、これには net_rawaccess 特権が必要です。このオプションの使用例については、「ルーティングコマンドの使用法」を参照してください。

rdate

rdate(1M) コマンドを正しく実行するには、sys_config 特権が必要です。

route

route(1M) コマンドを使用して、emetric (セキュリティ情報) の追加、削除などのネットワークルーティングテーブルの操作ができます。Trusted Solaris 版の route コマンドを正しく実行するには、sys_net_config 特権の継承が必要です。Trusted Solaris 環境の route コマンドには、次の 3 つのオプションがあります。

• -m - コマンド行で拡張メトリック情報を指定する

• -e - 拡張メトリック情報が保持されているファイルを指定する

• -t - 通常のメトリックまたは拡張メトリックとともに、追加する経路が保持されているファイルを指定する

IP デバイスを開いて経路を追加または削除できるようにするには、sys_net_config 特権の継承が必要です。また、ADMIN_HIGH の機密ラベルで、実効 UID を 0 にするか、sys グループに指定して実行しなくてはなりません。MAC ポリシーの条件である ADMIN_HIGH の制約は、file_mac_read 特権で無効にできます。DAC の条件である UID 0 または sys グループの制約は、file_dac_read 特権で無効にできます。詳細は、「Trusted Solaris のルーティング」を参照してください。

snoop

snoop(1M) コマンドは、ネットワークからパケットを取り込み、その内容を表示します。ネットワークデバイスを開くときは、Trusted Solaris 版の snoop コマンドを機密ラベル ADMIN_HIGH で、実効 UID を 0 に指定して実行する必要があります。この 2 つの条件は、プロセスに file_mac_read 特権と file_dac_read 特権が指定されている場合は必要ありません。そのほか、snoop コマンドには、sys_net_config 特権の継承も必要になります。なお、-i オプションは、ネットワークデバイスではなくファイルを開くため、使用条件は異なります。

snoop コマンドを使用すると、パケットの SAMP セキュリティ属性と IP オプションも表示できます。

spray

spray(1M) コマンドは、RPC を使用して、指定されたホストに一方向ストリームのパケットを送信し、受信数と転送速度のレポートを出力します。ホストがブロードキャストアドレスの場合、コマンドを正しく実行するためには net_broadcast 特権の継承が必要です。