install-ldm インストールスクリプトを使用する場合、スクリプトの実行方法を指定する選択肢がいくつかあります。それぞれの選択肢について、次の手順で説明します。
オプションを指定せずに install-ldm スクリプトを使用すると、自動的に次の処理を行います。
Solaris OS リリースが Solaris 10 5/09 OS 以上であることを確認します。
パッケージのサブディレクトリである SUNWldm/ および SUNWjass/ が存在することを確認します。
前提条件となる Solaris Logical Domains ドライバパッケージの SUNWldomr および SUNWldomu が存在することを確認します。
SUNWldm および SUNWjass パッケージがインストールされていないことを確認します。
インストール中に、スクリプトが SUNWjass の以前のバージョンを検出した場合は、これを削除する必要があります。使用している Solaris OS のこれまでの強化を元に戻す必要はありません。
Logical Domains Manager 1.2 ソフトウェア (SUNWldm パッケージ) をインストールします。
必須パッチを含む Solaris Security Toolkit 4.2 ソフトウェア (SUNWjass パッケージ) をインストールします。
すべてのパッケージがインストールされていることを確認します。
Logical Domains Manager デーモン ldmd を有効にします。
Solaris Security Toolkit の ldm_control-secure.driver、または -secure.driver で終わるその他のドライバのうち選択したものを使用して、制御ドメインで Solaris OS を強化します。
オプション -d を指定して install-ldm スクリプトを使用すると、-secure.driver で終わるドライバ以外の Solaris Security Toolkit ドライバを指定できます。このオプションは、指定する Solaris Security Toolkit のカスタマイズされたドライバ (たとえば、server-secure-myname.driver) を使用して、前の選択肢で示したすべての機能を自動的に実行し、制御ドメインで Solaris OS を強化します。
オプション -d と none を指定して install-ldm スクリプトを使用すると、Solaris Security Toolkit を使用して制御ドメインで動作している Solaris OS を強化しないことを指定します。このオプションは、前の選択肢で示した強化以外のすべての機能を自動的に実行します。Solaris Security Toolkit の使用を省略することはお勧めしません。別の処理を使用して制御ドメインを強化する場合にかぎり、この使用を省略するようにしてください。
オプション -p を指定して install-ldm スクリプトを使用すると、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行することを指定します。たとえば、SUNWldm および SUNWjass パッケージがサーバーにプリインストールされている場合に、このオプションを使用します。「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」 を参照してください。
オプションを指定せずに install-ldm インストールスクリプトを実行します。
インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm |
1 つ以上のパッケージがすでにインストールされている場合は、次のメッセージが表示されます。
# Install/install-ldm ERROR: One or more packages are already installed: SUNWldm SUNWjass. If packages SUNWldm.v and SUNWjass are factory pre-installed, run install-ldm -p to perform post-install actions. Otherwise remove the package(s) and restart install-ldm. |
インストール後の処理のみを実行する場合は、「Logical Domains Manager デーモンを有効にして Solaris Security Toolkit のみを実行する」 に進みます。
処理が正常に実行されると、次の例のようなメッセージが表示されます。
例 3–1 は、次のデフォルトのセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。
a) Hardened Solaris configuration for LDoms (recommended)
例 3–2 は、次のセキュリティープロファイルを選択した場合に、install-ldm スクリプトが正常に実行されたことを示しています。
c) Your custom-defined Solaris security configuration profile
選択肢として表示されるドライバは、名前が -secure.driver で終わるドライバです。名前が -secure.driver で終わらない、カスタマイズしたドライバを書き込む場合は、install-ldm -d オプションでカスタマイズしたドライバを指定する必要があります。「カスタマイズされた強化ドライバとともにインストールする」 を参照してください。
# Install/install-ldm Welcome to the LDoms installer. You are about to install the domain manager package that will enable you to create, destroy and control other domains on your system. Given the capabilities of the domain manager, you can now change the security configuration of this Solaris instance using the Solaris Security Toolkit. Select a security profile from this list: a) Hardened Solaris configuration for LDoms (recommended) b) Standard Solaris configuration c) Your custom-defined Solaris security configuration profile Enter a, b, or c [a]: a The changes made by selecting this option can be undone through the Solaris Security Toolkit's undo feature. This can be done with the `/opt/SUNWjass/bin/jass-execute -u' command. Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver Executing driver, ldm_control-secure.driver Solaris Security Toolkit hardening executed successfully; log file /var/opt/SUNWjass/run/20070208142843/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
# Install/install-ldm Welcome to the LDoms installer. You are about to install the domain manager package that will enable you to create, destroy and control other domains on your system. Given the capabilities of the domain manager, you can now change the security configuration of this Solaris instance using the Solaris Security Toolkit. Select a security profile from this list: a) Hardened Solaris configuration for LDoms (recommended) b) Standard Solaris configuration c) Your custom-defined Solaris security configuration profile Enter a, b, or c [a]: c Choose a Solaris Security Toolkit .driver configuration profile from this list 1) ldm_control-secure.driver 2) secure.driver 3) server-secure.driver 4) suncluster3x-secure.driver 5) sunfire_15k_sc-secure.driver Enter a number 1 to 5: 2 The driver you selected may not perform all the LDoms-specific operations specified in the LDoms Administration Guide. Is this OK (yes/no)? [no] y The changes made by selecting this option can be undone through the Solaris Security Toolkit's undo feature. This can be done with the `/opt/SUNWjass/bin/jass-execute -u' command. Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver secure.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d secure.driver Executing driver, secure.driver Solaris Security Toolkit hardening executed successfully; log file /var/opt/SUNWjass/run/20070102142843/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
Solaris Security Toolkit のカスタマイズされた強化ドライバ (たとえば、server-secure-myname.driver) を指定するには、-d オプションを指定して install-ldm インストールスクリプトを実行します。
インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm -d server-secure-myname.driver |
処理が正常に実行されると、次の例のようなメッセージが表示されます。
# Install/install-ldm -d server-secure.driver The driver you selected may not perform all the LDoms-specific operations specified in the LDoms Administration Guide. Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver server-secure-myname.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d server-secure-myname.driver Executing driver, server-secure-myname.driver Solaris Security Toolkit hardening executed successfully; log file /var/opt/SUNWjass/run/20061114143128/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |
Solaris Security Toolkit ドライバを使用してシステムを強化しないことを指定するには、-d none オプションを指定して install-ldm インストールスクリプトを実行します。
インストールスクリプトは、SUNWldm パッケージの一部で、Install サブディレクトリにあります。
# Install/install-ldm -d none |
処理が正常に実行されると、次の例のようなメッセージが表示されます。
# Install/install-ldm -d none Installing LDoms and Solaris Security Toolkit packages. pkgadd -n -d "/var/tmp/install/Product/Logical_Domain_Manager" -a pkg_admin SUNWldm.v Copyright 2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWldm> was successful. pkgadd -n -d "/var/tmp/install/Product/Solaris_Security_Toolkit" -a pkg_admin SUNWjass Copyright 2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Installation of <SUNWjass> was successful. Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Solaris Security Toolkit was not applied. Bypassing the use of the Solaris Security Toolkit is not recommended and should only be performed when alternative hardening steps are to be taken. |
SUNWldm および SUNWjass パッケージがサーバーにプリインストールされており、Logical Domains Manager デーモン (ldmd) の有効化および Solaris Security Toolkit の実行といったインストール後の処理を行う必要がある場合は、このオプションを使用できます。
システムを強化するために ldmd の有効化および Solaris Security Toolkit の実行といったインストール後の処理のみを実行するには、-p オプションを指定して install-ldm インストールスクリプトを実行します。
# Install/install-ldm -p Verifying that all packages are fully installed. OK. Enabling services: svc:/ldoms/ldmd:default Running Solaris Security Toolkit 4.2.0 driver ldm_control-secure.driver. Please wait. . . /opt/SUNWjass/bin/jass-execute -q -d ldm_control-secure.driver Solaris Security Toolkit hardening executed successfully; log file var/opt/SUNWjass/run/20070515140944/jass-install-log.txt. It will not take effect until the next reboot. Before rebooting, make sure SSH or the serial line is setup for use after the reboot. |