Trusted Solaris 管理の手順

ブート時に実行するコマンドに拡張セキュリティ属性を使用するかどうかを指定するには


注 -

デフォルトの boot プロファイルに、ブート時に Trusted Solaris の拡張セキュリティ属性を使って呼び出されるコマンドを追加することは避けてください。デフォルトのプロファイルを変更するのではなく、新しいプロファイルを作成し、新しい sysh(1M) スクリプト内で setprof コマンドを使うようにしてください。次に、この手順を説明します。


  1. 希望のコマンドを呼び出したり停止させたりする新しい sysh スクリプトを作成します。

    詳細は、『Solaris のシステム管理 (第 1 巻)』の実行制御スクリプトに関する記述、sysh(1M)マニュアルページ、「ブート時にコマンドを実行するには」を参照してください。このスクリプトの先頭行は次のようになります。


    #!/bin/sysh
    

    注 -

    シェルスクリプトを作成するための条件は、テキストエディタを使用できることです。


  2. setprof オプションを使って実行プロファイルの名前を指定します。

    このスクリプトの 2 行目は次のようになります。new_profile_name は特定のプロファイル名で置き換えます。


    setprof new_profile_name
    
  3. セキュリティ管理者役割になり、ADMIN_LOWワークスペースに移動します。

    詳細は、「ログイン後、特定の管理役割になるには」を参照してください。

  4. このスクリプトを /etc/init.d ディレクトリにインストールし、このスクリプトに対するハードリンクを適切な /etc/rcn.d 内に作成します。

    以下の例では、/etc/init.d 内の新しいスクリプトの名前を new_script とします。new_script/etc/rc2.d/S89new_script/etc/rc2.d/K8new_script にリンクするには次のように入力します。


    $ pwd
    /etc/init.d
    $ ln new_script /etc/rc2.d/S89new_script
    $ ln new_script /etc/rc2.d/K89new_script
    
    1. コマンドを呼び出したり停止させたりする各実行レベルに対応する /etc/rcn.d ディレクトリに移動し、適切な名前を持つ対象ファイルから /etc/init.d ディレクトリへのリンクを作成します。

    2. 対象ファイルの名前には、コマンドの呼び出しならば S 、停止ならば K という接頭辞を付けます。

    3. 各実行レベルへの移行時にスクリプトが実行される順番が判るように、対象ファイルの名前には適切な番号を含めます。


      $ cd /etc/rc2.d
      $ ln /etc/init.d/scriptname [S|K]nnscriptname
      
  5. 新しいプロファイルを作成し、新しいスクリプト内のコマンドに対して Trusted Solaris セキュリティ属性を割り当てます。

    1. プロファイルマネージャを起動し、ネームサービスを選択します。

      詳細は、「実行プロファイル中内にコマンドを指定するには」を参照してください。

    2. ネットワークサービスが開始される前にコマンドを呼び出す場合は、プロファイルマネージャの「ネームサービス(Naming Service)」メニューで「なし (None)」を選択し、プロファイルが /etc/security/tsol/tsolprof 内にローカルに作成されるようにします。

    3. ネットワークサービスが開始されてからコマンドを呼び出す場合は、プロファイルマネージャの「ネームサービス(Naming Service)」メニューで「NIS+」を選択し、プロファイルが NIS+ マスター上の tsolprof NIS+ マップ内に作成されるようにします。

    4. プロファイルマネージャを使用して、コマンドを設定し、GID、機密ラベル、認可上限を割り当てる、新しいプロファイルを作成します (任意)。

  6. 「トラステッドパス (TP)」メニューの「シャットダウン」オプションを使ってコンピュータをシャットダウンし、起動監視プロンプトからリブートします。


    ok boot