Logical Domains 1.2 管理ガイド

Logical Domains Manager および Solaris Security Toolkit のインストール

Logical Domains Manager および Solaris Security Toolkit ソフトウェアをインストールするには、次の 3 つの方法があります。

インストールスクリプトを使用してパッケージおよびパッチをインストールします。この方法では、Logical Domains Manager および Solaris Security Toolkit ソフトウェアの両方が自動的にはインストールされます。「Logical Domains Manager および Solaris Security Toolkit ソフトウェアの自動インストール」を参照してください。
JumpStart を使用してパッケージをインストールします。「JumpStart を使用した Logical Domains Manager 1.2 および Solaris Security Toolkit 4.2 ソフトウェアのインストール」を参照してください。
各パッケージを手動でインストールします。「Logical Domains Manager および Solaris Security Toolkit ソフトウェアの手動インストール」を参照してください。

注 –

Logical Domains および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これは、ほかのパッケージとともに自動的にはインストールされません。LDoms MIB のインストールおよび使用法の詳細は、『Logical Domains (LDoms) MIB 1.0.1 Administration Guide』を参照してください。

Logical Domains Manager および Solaris Security Toolkit ソフトウェアの自動インストール

install-ldm インストールスクリプトを使用する場合、スクリプトの実行方法を指定する選択肢がいくつかあります。それぞれの選択肢について、次の手順で説明します。

オプションを指定せずに install-ldm スクリプトを使用すると、自動的に次の処理を行います。
- Solaris OS リリースが Solaris 10 5/09 OS 以上であることを確認します。
- パッケージのサブディレクトリである SUNWldm/ および SUNWjass/ が存在することを確認します。
- 前提条件となる Solaris Logical Domains ドライバパッケージの SUNWldomr および SUNWldomu が存在することを確認します。
- SUNWldm および SUNWjass パッケージがインストールされていないことを確認します。
  
  注 –
  インストール中に、スクリプトが SUNWjass の以前のバージョンを検出した場合は、これを削除する必要があります。使用している Solaris OS のこれまでの強化を元に戻す必要はありません。
- Logical Domains Manager 1.2 ソフトウェア (SUNWldm パッケージ) をインストールします。
- 必須パッチを含む Solaris Security Toolkit 4.2 ソフトウェア (SUNWjass パッケージ) をインストールします。
- すべてのパッケージがインストールされていることを確認します。
- Logical Domains Manager デーモン ldmd を有効にします。
- Solaris Security Toolkit の ldm_control-secure.driver、または -secure.driver で終わるその他のドライバのうち選択したものを使用して、制御ドメインで Solaris OS を強化します。
オプション -d を指定して install-ldm スクリプトを使用すると、-secure.driver で終わるドライバ以外の Solaris Security Toolkit ドライバを指定できます。このオプションは、指定する Solaris Security Toolkit のカスタマイズされたドライバ (たとえば、server-secure-myname.driver) を使用して、前の選択肢で示したすべての機能を自動的に実行し、制御ドメインで Solaris OS を強化します。
オプション -d と none を指定して install-ldm スクリプトを使用すると、Solaris Security Toolkit を使用して制御ドメインで動作している Solaris OS を強化しないことを指定します。このオプションは、前の選択肢で示した強化以外のすべての機能を自動的に実行します。Solaris Security Toolkit の使用を省略することはお勧めしません。別の処理を使用して制御ドメインを強化する場合にかぎり、この使用を省略するようにしてください。
オプション -p を指定して install-ldm スクリプトを使用すると、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行することを指定します。たとえば、SUNWldm および SUNWjass パッケージがサーバーにプリインストールされている場合に、このオプションを使用します。「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」を参照してください。

特別なオプションを指定せずにインストールする

オプションを指定せずに install-ldm インストールスクリプトを実行します。

インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。

# Install/install-ldm

1 つ以上のパッケージがすでにインストールされている場合は、次のメッセージが表示されます。

# Install/install-ldm
ERROR: One or more packages are already installed: SUNWldm SUNWjass.
If packages SUNWldm.v and SUNWjass are factory pre-installed, run
install-ldm -p to perform post-install actions.  Otherwise remove the
package(s) and restart install-ldm.

インストール後の処理のみを実行する場合は、「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」に進みます。

処理が正常に実行されると、次の例のようなメッセージが表示されます。

例 3–1 は、次のデフォルトのセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。

a) Hardened Solaris configuration for LDoms (recommended)
例 3–2 は、次のセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。

c) Your custom-defined Solaris security configuration profile

選択肢として表示されるドライバは、名前が -secure.driver で終わるドライバです。名前が -secure.driver で終わらない、カスタマイズしたドライバを書き込む場合は、install-ldm -d オプションでカスタマイズしたドライバを指定する必要があります。「カスタマイズされた強化ドライバとともにインストールする」を参照してください。

例 3–1 LDoms 用に強化された Solaris 構成の場合の出力

# Install/install-ldm
Welcome to the LDoms installer.
 
You are about to install the domain manager package that will enable
you to create, destroy and control other domains on your system. Given
the capabilities of the domain manager, you can now change the security
configuration of this Solaris instance using the Solaris Security
Toolkit.
 
Select a security profile from this list:
 
a) Hardened Solaris configuration for LDoms (recommended)
b) Standard Solaris configuration
c) Your custom-defined Solaris security configuration profile
 
Enter a, b, or c [a]: a
The changes made by selecting this option can be undone through the
Solaris Security Toolkit's undo feature. This can be done with the
`/opt/SUNWjass/bin/jass-execute -u'  command.
 
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver
Executing driver, ldm_control-secure.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20070208142843/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

例 3–2 カスタマイズされた構成プロファイルを選択した場合の出力

# Install/install-ldm
Welcome to the LDoms installer.
 
You are about to install the domain manager package that will enable
you to create, destroy and control other domains on your system. Given
the capabilities of the domain manager, you can now change the security
configuration of this Solaris instance using the Solaris Security
Toolkit.
 
Select a security profile from this list:
 
a) Hardened Solaris configuration for LDoms (recommended)
b) Standard Solaris configuration
c) Your custom-defined Solaris security configuration profile
 
Enter a, b, or c [a]: c
Choose a Solaris Security Toolkit .driver configuration profile from
this list
1) ldm_control-secure.driver
2) secure.driver
3) server-secure.driver
4) suncluster3x-secure.driver
5) sunfire_15k_sc-secure.driver
 
Enter a number 1 to 5: 2
The driver you selected may not perform all the LDoms-specific
operations specified in the LDoms Administration Guide.
Is this OK (yes/no)? [no] y
The changes made by selecting this option can be undone through the
Solaris Security Toolkit's undo feature. This can be done with the
`/opt/SUNWjass/bin/jass-execute -u' command.
 
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver secure.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d secure.driver
Executing driver, secure.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20070102142843/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

カスタマイズされた強化ドライバとともにインストールする

Solaris Security Toolkit のカスタマイズされた強化ドライバ (たとえば、server-secure-myname.driver) を指定するには、-d オプションを指定して install-ldm インストールスクリプトを実行します。

インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm -d server-secure-myname.driver
処理が正常に実行されると、次の例のようなメッセージが表示されます。

例 3–3 install-ldm -d スクリプトが正常に実行された場合の出力

# Install/install-ldm -d server-secure.driver
The driver you selected may not perform all the LDoms-specific
operations specified in the LDoms Administration Guide.
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver server-secure-myname.driver.
Please wait. . . 
/opt/SUNWjass/bin/jass-execute -q -d server-secure-myname.driver
Executing driver, server-secure-myname.driver
Solaris Security Toolkit hardening executed successfully; log file
/var/opt/SUNWjass/run/20061114143128/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

インストールし、システムを強化しない

Solaris Security Toolkit ドライバを使用してシステムを強化しないことを指定するには、-d none オプションを指定して install-ldm インストールスクリプトを実行します。

インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm -d none
処理が正常に実行されると、次の例のようなメッセージが表示されます。

例 3–4 install-ldm -d none スクリプトが正常に実行された場合の出力

# Install/install-ldm -d none
Installing LDoms and Solaris Security Toolkit packages.
pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v
Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWldm> was successful.
pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass
Copyright 2005 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
 
Installation of <SUNWjass> was successful. 
 
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Solaris Security Toolkit was not applied. Bypassing the use of the
Solaris Security Toolkit is not recommended and should only be
performed when alternative hardening steps are to be taken.

Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する

SUNWldm および SUNWjass パッケージがサーバーにプリインストールされており、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理を行う必要がある場合は、このオプションを使用できます。

システムを強化するために ldmd の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行するには、-p オプションを指定して install-ldm インストールスクリプトを実行します。

# Install/install-ldm -p
Verifying that all packages are fully installed.  OK.
Enabling services: svc:/ldoms/ldmd:default
Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver.
Please wait. . .
/opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver
Solaris Security Toolkit hardening executed successfully; log file
var/opt/SUNWjass/run/20070515140944/jass-install-log.txt.  It will not
take effect until the next reboot.  Before rebooting, make sure SSH or
the serial line is setup for use after the reboot.

JumpStart を使用した Logical Domains Manager 1.2 および Solaris Security Toolkit 4.2 ソフトウェアのインストール

JumpStart の使用法の詳細は、『JumpStart Technology: Effective Use in the Solaris Operating Environment』を参照してください。

注意 –

ネットワークインストール中は、仮想コンソールから接続を解除しないでください。

JumpStart サーバーを設定する

JumpStart サーバーがすでに設定されている場合は、この管理ガイドの「JumpStart ソフトウェアを使用してインストールする」に進んでください。
JumpStart サーバーがまだ設定されていない場合は、これを設定する必要があります。

この手順の詳細は、『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』を参照してください。

『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』を参照してください。

次の手順を実行します。
1. 『Solaris 10 5/09 Installation Guide: Custom JumpStart and Advanced Installations』の「Task Map: Preparing Custom JumpStart Installations」を参照してください。
2. 「ネットワーク上のシステム用のプロファイルサーバーの作成」の手順に従って、ネットワークに接続されたシステムを設定します。
3. 「rules ファイルの作成」の手順に従って、rules ファイルを作成します。

「rules ファイルの妥当性を検査する」の手順に従って、rules ファイルの妥当性検査を行います。

Solaris Security Toolkit では、プロファイルおよび終了スクリプトが提供されています。プロファイルおよび終了スクリプトの詳細は、『Solaris Security Toolkit 4.2 Reference Manual』を参照してください。

JumpStart ソフトウェアを使用してインストールする

Solaris Security Toolkit パッケージ (SUNWjass) をダウンロードしたディレクトリに移動します。
# cd /path-to-download

SUNWjass をインストールして、JumpStart (jumpstart) ディレクトリ構造を作成します。
# pkgadd -R /jumpstart -d . SUNWjass

テキストエディタを使用して、ネットワーク環境を反映するように /jumpstart/opt/SUNWjass/Sysidcfg/Solaris_10/sysidcfg ファイルを変更します。

/jumpstart/opt/SUNWjass/Drivers/user.init.SAMPLE ファイルを /jumpstart/opt/SUNWjass/Drivers/user.init ファイルにコピーします。
# cp user.init.SAMPLE user.init

パスを反映するように user.init ファイルを編集します。

JumpStart のインストール中に Solaris Security Toolkit パッケージ (SUNWjass) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにこのパッケージを配置する必要があります。次に例を示します。
# cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWjass /jumpstart/opt/SUNWjass/Packages

JumpStart のインストール中に Logical Domains Manager パッケージ (SUNWldm.v) を対象のシステムにインストールするには、user.init ファイルで定義した JASS_PACKAGE_MOUNT ディレクトリにダウンロード領域からこのパッケージを配置する必要があります。次に例を示します。
# cp -r /path/to/LDoms_Manager-1_0_2/Product/SUNWldm.v /jumpstart/opt/SUNWjass/Packages

マルチホーム JumpStart サーバーで問題が発生した場合は、user.init ファイル内の JASS_PACKAGE_MOUNT および JASS_PATCH_MOUNT に関する 2 つのエントリを、JASS_HOME_DIR/Patches および JASS_HOME_DIR/Packages ディレクトリへの正しいパスに変更します。詳細は、user.init.SAMPLE ファイル内のコメントを参照してください。

Logical Domains Manager 制御ドメインの基本ドライバとして ldm_control-secure.driver を使用します。

使用するドライバを変更する方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』の第 4 章を参照してください。ldm_control-secure.driver に対応する Solaris Security Toolkit のメインドライバは、secure.driver です。

ldm_control-secure.driver への変更が完了したら、rules ファイルに適切なエントリを作成します。
- LDoms 制御ドメインを最小化する場合は、rules ファイル内の minimal-ldm-control.profile を次のように指定します。
  hostname imbulu - Profiles/minimal-ldm_control.profile Drivers/ldm_control-secure-abc.driver
  注 –
  LDoms および Solaris Security Toolkit パッケージをインストールしたあとで、LDoms MIB ソフトウェアパッケージを手動でインストールする必要があります。これらは、ほかのパッケージとともに自動的にはインストールされません。
- LDoms 制御ドメインを最小化しない場合は、エントリは次のようになるはずです。
  hostname imbulu - Profiles/oem.profile Drivers/ldm_control-secure-abc.driver

JumpStart のインストール中の強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager を再起動する必要があります。
# svcadm enable svc:/ldoms/ldmd:default

Logical Domains Manager および Solaris Security Toolkit ソフトウェアの手動インストール

Logical Domains Manager および Solaris Security Toolkit ソフトウェアを手動でインストールするには、次の手順を実行します。

Logical Domains Manager (LDoms) 1.2 ソフトウェアを手動でインストールする

始める前に

Sun のソフトウェアダウンロードサイトから、Logical Domains Manager 1.2 ソフトウェアの SUNWldm パッケージをダウンロードします。具体的な手順については、「ソフトウェアをダウンロードする」を参照してください。

pkgadd(1M) コマンドを使用して、SUNWldm.v パッケージをインストールします。-G オプションを使用して大域ゾーンのみにパッケージをインストールするよう指定し、-d オプションを使用して SUNWldm.v パッケージを含むディレクトリのパスを指定します。
# pkgadd -Gd . SUNWldm.v

対話型プロンプトのすべての質問に対して、y (はい) と答えます。

pkginfo(1) コマンドを使用して、Logical Domains Manager 1.2 ソフトウェア用の SUNWldm パッケージがインストールされていることを確認します。

バージョン (REV) 情報の例を次に示します。
# pkginfo -l SUNWldm | grep VERSION VERSION=1.2,REV=2007.08.23.10.20

(省略可能) Solaris Security Toolkit 4.2 ソフトウェアを手動でインストールする

システムをセキュリティー保護するには、SUNWjass パッケージをダウンロードしてインストールします。必須パッチ (122608-03 および 125672-01) は、SUNWjass パッケージに含まれています。ソフトウェアのダウンロードに関する詳細は、「ソフトウェアをダウンロードする」を参照してください。

Logical Domains Manager ソフトウェアを使用する場合のセキュリティーに関する考慮事項の詳細は、このドキュメントの第 2 章セキュリティーを参照してください。さらに詳細を確認するには、次の URL で Solaris Security Toolkit 4.2 のドキュメントを参照できます。

http://docs.sun.com

pkgadd(1M) コマンドを使用して、SUNWjass パッケージをインストールします。
# pkgadd -d . SUNWjass

pkginfo(1) コマンドを使用して、Solaris Security Toolkit 4.2 ソフトウェアの SUNWjass パッケージがインストールされていることを確認します。
# pkginfo -l SUNWjass | grep VERSION VERSION: 4.2.0

(省略可能) 制御ドメインを手動で強化する

Solaris Security Toolkit 4.2 パッケージがすでにインストールされている場合にかぎり、この手順を実行してください。

注 –

Solaris Security Toolkit を使用して制御ドメインを強化すると、多くのシステムサービスが無効になり、ネットワークアクセスに一定の制限が生じます。詳細は、「関連マニュアル」を参照して、Solaris Security Toolkit 4.2 のドキュメントで確認してください。

ldm_control-secure.driver を使用して強化します。
# /opt/SUNWjass/bin/jass-execute -d ldm_control-secure.driver
システムを強化するために、ほかのドライバを使用できます。また、ドライバをカスタマイズして、使用している環境のセキュリティーを調整することもできます。ドライバとそのカスタマイズ方法の詳細は、『Solaris Security Toolkit 4.2 Reference Manual』を参照してください。

対話型プロンプトのすべての質問に対して、y (はい) と答えます。

強化を有効にするため、サーバーを停止してから再起動します。
# /usr/sbin/shutdown -y -g0 -i6

強化の妥当性検査を行う

Logical Domains 強化ドライバ (ldom_control-secure.driver) によって、強化が適切に適用されたかどうかを確認します。

別のドライバについて確認する場合は、次のコマンド例のドライバ名を置き換えてください。
# /opt/SUNWjass/bin/jass-execute -a ldom_control-secure.driver

強化を取り消す

Solaris Security Toolkit によって適用された構成の変更を取り消します。
# /opt/SUNWjass/bin/jass-execute -u
Solaris Security Toolkit によって、どの強化の実行を取り消すかが尋ねられます。

取り消す強化の実行を選択します。

構成の強化の取り消しが行われるように、システムを再起動します。
# /usr/sbin/shutdown -y -g0 -i6
注 –
JumpStart のインストール中に実行された強化を取り消すには、次の SMF コマンドを実行して Logical Domains Manager デーモン (ldmd) および仮想ネットワーク端末サーバーデーモン (vntsd) を再起動する必要があります。
# svcadm enable svc:/ldoms/ldmd:default