デバイス割り当ての管理
デバイス割り当ては、周辺機器に対するアクセスの制限または防止を行う作業です。制限は、ユーザーの割り当て時に適用されます。デフォルトでは、割り当て可能デバイスにアクセスする場合、ユーザーは承認を必要とします。
デバイスを割り当て可能にする方法
すでに bsmconv コマンドを実行して監査を有効にしている場合、システムではすでにデバイス割り当てが有効になっています。詳細は、bsmconv(1M) のマニュアルページを参照してください。
-
Audit Control 権利プロファイルを含む役割を引き受けるか、あるいはスーパーユーザーになります。
Primary Administrator 役割には、Audit Control 権利プロファイルが含まれます。また、作成する役割に Audit Control 権利プロファイルを割り当てることもできます。役割を作成してその役割をユーザーに割り当てる方法については、例 9–3 を参照してください。
-
# bsmconv This script is used to enable the Basic Security Module (BSM). Shall we continue with the conversion now? [y/n] y bsmconv: INFO: checking startup file. bsmconv: INFO: move aside /etc/rc3.d/S81volmgt. bsmconv: INFO: turning on audit module. bsmconv: INFO: initializing device allocation files. The Basic Security Module is ready. If there were any errors, please fix them now. Configure BSM by editing files located in /etc/security. Reboot this system now to come up with BSM enabled.
注 –Volume Management デーモン (/etc/rc3.d/S81volmgt) は、このコマンドによって無効になります。
ユーザーによるデバイス割り当てを承認する方法
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
適切な承認とコマンドが入った権利プロファイルを作成します。
一般には、solaris.device.allocate 承認を含む権利プロファイルを作成します。「権利プロファイルを作成または変更する方法」に挙げられている説明に従って操作してください。権利プロファイルに、次に示すような適切なプロパティーを指定します。
-
権利プロファイル名: Device Allocation
-
付与される承認: solaris.device.allocate
-
セキュリティー属性を指定したコマンド: sys_mount 特権を指定した mount、sys_mount 特権を指定した umount
-
-
権利プロファイルの役割を作成します。
「GUI を使用して役割の作成および割り当てを行う方法」に挙げられている説明に従って操作してください。次に示す役割プロパティーを参考にしてください。
-
役割名: devicealloc
-
役割の完全名: Device Allocator
-
役割の説明: Allocates and mounts allocated devices
-
権利プロファイル: Device Allocation
この権利プロファイルは、役割に含めるプロファイルのリストの先頭に配置する必要があります。
-
-
デバイス割り当てを許可する各ユーザーに、この役割を割り当てます。
-
これらのユーザーにデバイス割り当ての方法を教えます。
リムーバブルメディアの割り当て例は、「デバイスを割り当てる方法」を参照してください。
Volume Management デーモン (vold) が稼働していないため、リムーバブルメディアは自動的にはマウントされません。割り当て済みのデバイスをマウントする例については、「割り当て済みデバイスをマウントする方法」を参照してください。
デバイスの割り当て情報を表示する方法
始める前に
この作業を行うには、デバイス割り当てが有効になっていなければなりません。デバイス割り当てを有効にする方法については、「デバイスを割り当て可能にする方法」を参照してください。
-
Device Security 権利プロファイルを含む役割を引き受けるか、あるいはスーパーユーザーになります。
Primary Administrator 役割には、Device Security 権利プロファイルが含まれます。また、作成する役割に Device Security 権利プロファイルを割り当てることもできます。役割を作成してその役割をユーザーに割り当てる方法については、例 9–3 を参照してください。
-
システム上の割り当て可能デバイスについての情報を表示します。
# list_devices device-name
device-name は次のいずれかです。
-
audio[n] – マイクとスピーカーです。
-
fd[n] – フロッピーディスクドライブです。
-
sr[n] – CD-ROM ドライブです。
-
st[n] – テープドライブです。
-
注意事項
list_devices コマンドが次のようなエラーメッセージを返す場合は、デバイス割り当てが有効になっていないか、情報を取得するために必要なアクセス権がありません。
list_devices: No device maps file entry for specified device.
コマンドを実行するには、デバイス割り当てを有効にし、solaris.device.revoke 承認のある役割を引き受けてください。
デバイスの強制的な割り当て
強制的な割り当ては、誰かがデバイスの割り当て解除を忘れた場合や、デバイスをただちに使用する必要がある場合などに行います。
始める前に
この処理を行うには、ユーザーまたは役割に solaris.device.revoke 承認がなければなりません。
-
自分の役割に適切な承認が含まれているか確認します。
$ auths solaris.device.allocate solaris.device.revoke
-
デバイスを必要としているユーザーにデバイスを強制的に割り当てます。
この例では、テープドライブがユーザー jdoe に強制的に割り当てられます。
$ allocate -U jdoe
デバイスの強制的な割り当て解除
ユーザーが割り当てたデバイスは、プロセスの終了時やそのユーザーのログアウトの際に自動的に割り当てが解除されることはありません。強制的な割り当て解除は、ユーザーがデバイスの割り当てを解除することを忘れた場合に行います。
始める前に
この処理を行うには、ユーザーまたは役割に solaris.device.revoke 承認がなければなりません。
-
自分の役割に適切な承認が含まれているか確認します。
$ auths solaris.device.allocate solaris.device.revoke
-
デバイスの割り当てを強制的に解除します。
この例では、プリンタの割り当てが強制的に解除されます。現在、このプリンタはほかのユーザーが割り当てを行える状態にあります。
$ deallocate -f /dev/lp/printer-1
割り当て可能デバイスの変更方法
-
Device Security 権利プロファイルを含む役割を引き受けるか、あるいはスーパーユーザーになります。
Primary Administrator 役割には、Device Security 権利プロファイルが含まれます。また、作成する役割に Device Security 権利プロファイルを割り当てることもできます。役割を作成してその役割をユーザーに割り当てる方法については、例 9–3 を参照してください。
-
承認が必要であるかどうかを指定するか、あるいは solaris.device.allocate 承認を指定します。
device_allocate ファイルのデバイスエントリにある 5 つ目のフィールドを変更します。
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
solaris.device.allocate は、デバイスの使用に solaris.device.allocate 承認が必要であることを示します。
例 4–4 任意のユーザーによるデバイス割り当てを許可する
次の例では、システム上のどのユーザーも任意のデバイスを割り当てることができます。device_allocate ファイルの各デバイスエントリ内にある 5 番目のフィールドは、単価記号 (@) に変更されました。
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean … |
例 4–5 一部の周辺機器の使用を防止する
次の例では、オーディオデバイスの使用が禁止されています。device_allocate ファイルのオーディオデバイスエントリにある 5 番目のフィールドは、アスタリスク (*) に変更されました。
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean … |
例 4–6 すべての周辺機器の使用を防止する
次の例では、使用できる周辺機器はありません。device_allocate ファイルの各デバイスエントリにある 5 番目のフィールドは、アスタリスク (*) に変更されました。
$ whoami devicesec $ vi /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean … |
デバイス割り当てを監査する方法
デフォルトでは、デバイス割り当てコマンドは、監査クラス other の状態です。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
監査の対象となるように、ot クラスをあらかじめ選択します。
audit_control ファイルの flags 行にクラス ot を追加してください。このファイルは次のようになります。
# audit_control file dir:/var/audit flags:lo,ot minfree:20 naflags:lo
詳しい操作説明は、「audit_control ファイルの変更方法」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates