Solaris のシステム管理 (セキュリティサービス)

ASET の実行 (作業マップ)

作業	説明	参照先
ASET をコマンド行から実行します	指定する ASET レベルにあるシステムを保護します。実行ログを表示して変化を確認します	「ASET を対話的に実行する方法」
定期的に ASET をバッチモードで実行します	cron ジョブを設定し、ASET がシステムを保護するようにします。	「ASET を定期的に実行する方法」
バッチモードによる ASET の実行を停止します	ASET cron ジョブを削除します。	「ASET の定期的な実行を停止する方法」
ASET レポートをサーバーに保存します	監視のためにクライアントから ASET レポートを収集し、中心的な場所に保存します。	「サーバー上で ASET レポートを収集する方法」

ASET で変数を設定する方法は、「ASET 環境変数」を参照してください。ASET を構成する方法は、「ASET の構成」を参照してください。

ASET を対話的に実行する方法

スーパーユーザーになるか、同等の役割を引き受けます。

役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。

aset コマンドを使用して ASET を対話的に実行します。
# /usr/aset/aset -l level -d pathname
level

セキュリティーレベルを指定します。有効な値は low、medium、または high です。デフォルト設定は low です。セキュリティーレベルの詳細は、「ASET のセキュリティーレベル」を参照してください。

pathname

ASET の作業ディレクトリを指定します。デフォルトは /usr/aset です。

画面に表示される ASET 実行ログを見て、ASET が動作していることを確認します。

実行ログメッセージは、動作しているタスクを示します。

例 7–1 ASET を対話的に実行する

次の例では、デフォルトの作業ディレクトリを使用して低セキュリティーレベルで ASET を実行します。

# /usr/aset/aset -l low
======= ASET Execution Log =======
 
ASET running at security level low
 
Machine = jupiter; Current time = 0111_09:26
 
aset: Using /usr/aset as working directory
 
Executing task list ...
	firewall
	env
	sysconf
	usrgrp
	tune
	cklist
	eeprom
 
All tasks executed. Some background tasks may still be running.
 
Run /usr/aset/util/taskstat to check their status:
 /usr/aset/util/taskstat [aset_dir]
 
where aset_dir is ASET's operating
directory,currently=/usr/aset.
 
When the tasks complete, the reports can be found in:
 /usr/aset/reports/latest/*.rpt
 
You can view them by:
 more /usr/aset/reports/latest/*.rpt

ASET を定期的に実行する方法

スーパーユーザーになるか、同等の役割を引き受けます。

役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。

必要であれば、ASET を定期的に実行する時刻を設定します。

システム需要が少ないときに ASET を実行します。/usr/aset/asetenv ファイル内の PERIODIC_SCHEDULE 環境変数を使用して、ASET を定期的に実行する時刻を設定します。デフォルトでは、時刻は深夜に設定されます。

別の時刻を設定する場合は、/usr/aset/asetenv ファイル内の PERIODIC_SCHEDULE 変数を編集します。PERIODIC_SCHEDULE 変数の設定の詳細は、「PERIODIC_SCHEDULE 環境変数」を参照してください。

aset コマンドを使用してエントリを crontab ファイルに追加します。
# /usr/aset/aset -p
-p オプションは、決めた時刻に ASET の実行を開始するように /usr/aset/asetenv ファイル内の PERIODIC_SCHEDULE 環境変数に設定した行を crontab ファイルに挿入します。

次のコマンドを実行すると crontab エントリが表示され、ASET の実行スケジュールを確認できます。
# crontab -l root

ASET の定期的な実行を停止する方法

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。

Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

crontab ファイルを編集します。
# crontab -e root

ASET エントリを削除します。

変更を保存して終了します。

crontab エントリを表示して、ASET エントリが削除されていることを確認します。
# crontab -l root

サーバー上で ASET レポートを収集する方法

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。

Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

サーバー上でディレクトリを設定します。
1. /usr/aset ディレクトリに移動します。
  mars# cd /usr/aset
2. rptdir ディレクトリを作成します。
  mars# mkdir rptdir
3. rptdir ディレクトリに移動して、client_rpt ディレクトリを作成します。
  
  これにより、クライアント用のサブディレクトリ client_rpt が作成されます。レポートを収集するクライアントごとに、この手順を繰り返します。
  mars# cd rptdir mars# mkdir client_rpt
  次の例では、ディレクトリ all_reports とサブディレクトリ pluto_rpt および neptune_rpt が作成されます。
  mars# cd /usr/aset mars# mkdir all_reports mars# cd all_reports mars# mkdir pluto_rpt mars# mkdir neptune_rpt

client_rpt ディレクトリを /etc/dfs/dfstab ファイルに追加します。

このディレクトリには、読み取り権と書き込み権があります。

たとえば、dfstab ファイル内の次のエントリは、読み取り権と書き込み権によって共有されます。
share -F nfs -o rw=pluto /usr/aset/all_reports/pluto_rpt share -F nfs -o rw=neptune /usr/aset/all_reports/neptune_rpt

dfstab ファイル内のリソースをクライアントが利用できるようにします。
# shareall

各クライアント上でクライアントのサブディレクトリを、マウントポイント /usr/aset/masters/reports にサーバーからマウントします。
# mount server:/usr/aset/client_rpt /usr/aset/masters/reports

/etc/vfstab ファイルを編集して、ブート時にディレクトリを自動的にマウントするようにします。

neptune 上の /etc/vfstab 内の次のエントリ例には、mars からマウントされるディレクトリ /usr/aset/all_reports/neptune_rpt と、neptune 上のマウントポイント /usr/aset/reports が一覧されています。ブート時には、vfstab 内に一覧されたディレクトリが自動的にマウントされます。
mars:/usr/aset/all_reports/neptune.rpt /usr/aset/reports nfs - yes hard