この節では、Trusted Extensions ソフトウェアのインストールと構成の前に必要な計画について概説します。
Trusted Extensions の構成タスクのチェックリストについては、付録 C Trusted Extensions の構成チェックリストを参照してください。サイトのローカライズについては、「英語以外のロケールで Trusted Extensions を使用するお客様」を参照してください。評価された構成の実行については、「サイトのセキュリティーポリシーについて」を参照してください。
Solaris Trusted Extensions のインストールおよび構成は、実行可能ファイルの読み込み、サイトのデータの指定、構成変数の設定などのタスクにとどまりません。高度な予備知識が必要です。Trusted Extensions ソフトウェアは、次の概念に基づいたラベル付き環境を実現します。
ほとんどの UNIX® 環境でスーパーユーザーに割り当てられる機能を、個別の管理役割で実行できます。
UNIX のアクセス権のほかに、データへのアクセスが特別なセキュリティータグによって制御されます。このようなタグを「ラベル」と言います。ラベルはユーザー、プロセス、およびデータファイルやディレクトリなどのオブジェクトに割り当てられます。
特定のユーザーおよびアプリケーションがセキュリティーポリシーを上書きできるようにできます。
Trusted Extensions では、サイトのセキュリティーポリシーを Solaris OS と効率的に統合できます。そのためには、ポリシーの範囲、およびそのポリシーに対応する Trusted Extensions ソフトウェアの機能について、適切に理解する必要があります。適切に計画された構成では、サイトのセキュリティーポリシーの一貫性とシステムにおけるユーザーの作業の利便性とのバランスを取るようにしてください。
Trusted Extensions は、デフォルトで、次の保護プロファイルに対して情報技術 セキュリティー評価のための共通基準 (Common Criteria for Information Technology Security Evaluation) (ISO/IEC 15408) の認証レベル EAL4 に準拠するように構成されます。
ラベル付きセキュリティー保護プロファイル
制御アクセス保護プロファイル
役割ベースアクセス制御保護プロファイル
これらの評価レベルに適合するために、LDAP をネームサービスとして設定する必要があります。次のいずれかを行なった場合、構成が評価に準拠しなくなる可能性があります。
/etc/system ファイルのカーネルスイッチの設定の変更。
監査またはデバイス割り当てのオフ。
次の構成ファイルのデフォルトエントリの変更。
/usr/openwin/server/etc/*
/usr/dt/app-defaults/C/Dt
/usr/dt/app-defaults/C/Dtwm
/usr/dt/app-defaults/C/SelectionManager
/usr/dt/bin/Xsession
/usr/dt/bin/Xtsolsession
/usr/dt/bin/Xtsolusersession
/usr/dt/config/sel_config
/usr/X11/lib/X11/xserver/TrustedExtensionsPolicy
詳細は、Common Criteria の Web サイトを参照してください。
root ユーザーまたはシステム管理者役割は、Solaris Trusted Extensions インストールメディアからのパッケージを読み込みを担当します。役割を作成すると、複数の機能の領域で管理担当を分割することができます。
セキュリティー管理者は、機密ラベルの設定と割り当て、監査の設定、パスワードポリシーの設定などのセキュリティー関連のタスクを担当します。
システム管理者は、セキュリティー以外の設定、保守、および全般的な管理を担当します。
主管理者は、セキュリティー管理者の権利プロファイルの作成、およびセキュリティー管理者やシステム管理者が十分な特権を持たない問題の修正を担当します。
さらに制限を持つ役割を設定することもできます。たとえば、あるオペレータがファイルのバックアップを担当する可能性もあります。
管理ストラテジの一環として、次の事項を決定する必要があります。
どのユーザーがどの管理タスクを実行するか
管理者以外のどのユーザーがトラステッドアプリケーションを実行できるか、すなわち、必要なときにどのユーザーがセキュリティーポリシーを上書きできるか
どのユーザーがデータのどのグループにアクセスできるか
ラベルを計画するには、機密ラベルの階層を定め、システム上の情報を分類する必要があります。ラベルエンコーディングファイルには、サイトについてのこの種の情報が含まれます。Solaris Trusted Extensions インストールメディアで提供されている label_encodings ファイルのいずれかを使用できます。あるいは、その提供ファイルのいずれかを変更したり、サイト固有の label_encodings ファイルを新たに作成したりできます。このファイルには、Sun 固有のローカルな拡張機能、少なくとも COLOR NAMES セクションを組み込んでください。
label_encodings ファイルを提供している場合、Solaris Trusted Extensions パッケージを追加する前に、このファイルの最終バージョンを使用できる状態にしておく必要があります。ファイルを追加してから、システムを再起動して構成を行います。このファイルはリムーバブルメディアに置きます。
ラベルの計画には、そのラベル構成の計画も含まれます。Trusted Extensions パッケージをシステムに追加したあと、システムが 1 つのラベルでのみ実行できるか、または複数のラベルで実行できるかを決定する必要があります。管理を行わないすべてのユーザーが同じセキュリティーラベルで操作できる場合には、単一ラベルシステムを選択します。
また、ラベルを表示するかどうか、およびどのラベル名形式を表示するかも設定できます。詳細は、『Solaris Trusted Extensions ラベルの管理』を参照してください。『コンパートメントモードワークステーションのラベル作成: エンコード形式』も参照してください。
英語以外のロケールを使用するお客様が label_encodings ファイルをローカライズする場合は、ラベル名のみをローカライズしてください。管理ラベル名の ADMIN_HIGH および ADMIN_LOW をローカライズしてはいけません。いずれのベンダー製であれ、接続するラベル付きホストの名前はすべて、label_encodings ファイル内のラベル名と一致する必要があります。
Trusted Extensions でサポートされるロケールは Solaris OS より少ないです。Trusted Extensions でサポートされないロケールで作業する場合、ラベルに関するエラーメッセージなど、Trusted Extensions に固有のテキストは、そのロケールに翻訳されません。Solaris ソフトウェアは、使用中のロケールに翻訳されたまま、変化することはありません。
システムハードウェアには、システムそのものとそれに接続されるデバイスが含まれます。接続されるデバイスには、テープドライブ、マイクロフォン、CD-ROM ドライブ、およびディスクパックが含まれます。ハードウェアの容量には、システムメモリー、ネットワークインタフェース、およびディスク容量があります。
Solaris リリースをインストールする場合、『Solaris 10 5/08 インストールガイド (基本編)』の「システム要件と推奨事項」の推奨事項に従ってください。そこに示されるほかに、Trusted Extensions ではさらに追加される要件があります。
次のシステムでは、推奨される最小容量よりも多くのメモリーが必要です。
必要な管理 GUI である Solaris 管理コンソール を実行するシステム
複数の機密ラベルで実行されるシステム
管理役割になれるユーザーが使用するシステム
次のシステムではより多くのディスク容量が必要です。
複数のラベルでファイルを格納するシステム
ユーザーが管理役割になれるシステム
ネットワークハードウェアの計画の参考として、『Solaris のシステム管理 (IP サービス)』の第 2 章「TCP/IP ネットワークの計画 (手順)」を参照してください。
ほかのクライアントサーバーネットワークの場合と同様に、サーバーまたはクライアントという機能によってホストを区別し、それぞれ適切にソフトウェアを設定する必要があります。この計画の参考として、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』を参照してください。
Trusted Extensions ソフトウェアは、ラベル付きホストとラベルなしホストの 2 種類を識別します。どちらの種類のホストにも、表 1–1 に示すデフォルトのセキュリティーテンプレートがあります。
表 1–1 Trusted Extensions のデフォルトのホストテンプレート
ホストの種類 |
テンプレート名 |
目的 |
---|---|---|
unlabeled |
admin_low |
初期起動時、大域ゾーンをラベル付けします。 初期起動後、ラベルなしパケットを送信するホストを特定します。 |
cipso |
cipso |
CIPSO パケットを送信するホストまたはネットワークを特定します。CIPSO パケットはラベル付けされます。 |
ネットワークにほかのネットワークによる到達性がある場合、アクセス可能なドメインおよびホストを指定する必要があります。また、どの Trusted Extensions のホストが、ゲートウェイとしての機能を果たすかも特定する必要があります。ゲートウェイ用のラベルの認可範囲と、ほかのホストのデータを表示できる機密ラベルを、指定する必要があります。
tnrhtp(4) のマニュアルページには、各種類のホストの詳細な説明と例があります。
Trusted Extensions ソフトウェアは、Solaris OS の大域ゾーンに追加されます。そのあとで、ラベル付きの非大域ゾーンを設定します。重複しないすべてのラベルに対してそれぞれ 1 つのラベル付きゾーンを作成できますが、すべてのラベルに対してゾーンを作成する必要はありません。
ラベル付きゾーンは、通常の Solaris 10 のゾーンと異なります。ラベル付きゾーンは、主にデータを分けるために使用されます。Trusted Extensions では、一般ユーザーはラベル付きゾーンに遠隔からログインすることはできません。ラベル付きゾーンに対する唯一の対話型インタフェースは、ゾーンコンソールにあります。root のみがゾーンコンソールにアクセスできます。
ラベル付きゾーンを作成するには、Solaris OS 全体をコピーし、すべてのゾーンで Solaris OS のサービスを起動します。この手順は時間がかかります。1 つのゾーンを作成して、そのゾーンをコピーするかゾーンの内容のクローンを作成すると、それほど時間がかかりません。次の表は、Trusted Extensions でゾーンを作成するオプションを示します。
Solaris ゾーンは、パッケージのインストールおよびパッチの適用に影響します。詳細は、次のマニュアルページを参照してください。
通常、印刷および NFS は、マルチレベルサービスとして設定されます。マルチレベルサービスにアクセスするには、適切に構成されたシステムで、すべてのゾーンが 1 つ以上のネットワークアドレスにアクセスできなければなりません。次の構成においてマルチレベルサービスが可能です。
Solaris OS と同様に、大域ゾーンを含むすべてのゾーンに対してそれぞれの IP アドレスが割り当てられている。ゾーンごとに別々のネットワーク情報カード (NIC) を割り当てれば、この構成がさらに改善される。このような構成は、各 NIC に関連付けられている単一ラベルのネットワークを物理的に分離するために使用される。
all-zones の 1 つのアドレスが割り当てられている。1 つ以上のゾーンがゾーン固有のアドレスを持つことができる。
次の 2 つの条件に合うシステムはマルチレベルサービスを行えません。
1 つの IP アドレスが割り当てられ、大域ゾーンとラベル付きゾーンが共有する。
ゾーン固有のアドレスが 1 つも割り当てられていない。
ラベル付きゾーンのユーザーがローカルのマルチレベルプリンタにアクセスすることを想定しておらず、ホームディレクトリの NFS エクスポートも必要ない場合、Trusted Extensions が設定されたシステムに対して 1 つの IP アドレスを割り当てることができます。このようなシステムでは、マルチレベル印刷はサポートされず、ホームディレクトリを共有できません。この構成は、主としてラップトップコンピュータで使用します。
ラベル付きシステムのネットワークの構成を計画していない場合、この節は省略できます。
システムのネットワークを導入する場合、Trusted Extensions では LDAP をネームサービスとして使用します。システムのネットワークを構成する場合、データ入力された Sun JavaTM System Directory Server (LDAP サーバー) が必要です。サイトに既存の LDAP サーバーがある場合、Trusted Extensions データベースをそのサーバーに転送できます。そのサーバーにアクセスするには、Trusted Extensions システムに LDAP プロキシを設定します。
サイトに既存の LDAP サーバーがない場合、Trusted Extensions ソフトウェアを実行するシステムで LDAP サーバーを作成するようにします。手順については、第 5 章Trusted Extensions のための LDAP の構成 (手順)を参照してください。
デフォルトでは、Trusted Extensions がインストールされるときに監査がオンに設定されます。したがって、デフォルトでは root ログインおよび root ログアウトが監査されます。システムを構成しようとするユーザーを監査するために、構成プロセスの最初の段階で役割を作成できます。手順については、「Trusted Extensions での役割とユーザーの作成」を参照してください。
Trusted Extensions での監査の計画は、Solaris OS の場合と同じです。詳細は、『Solaris のシステム管理 (セキュリティサービス)』のパート VII「Solaris 監査」を参照してください。Trusted Extensions は、クラス、イベント、および監査トークンを追加しますが、監査の管理方法は変更されません。監査に対する Trusted Extensions による追加については、『Solaris Trusted Extensions 管理の手順』の第 18 章「Trusted Extensions での監査 (概要)」を参照してください。
Trusted Extensions ソフトウェアでは、ユーザーに対して妥当なセキュリティーデフォルト設定を提供しています。このようなセキュリティーデフォルト設定を表 1–2 に示します。2 つの値が示されている場合、最初の値がデフォルト値です。セキュリティー管理者は、サイトのセキュリティーポリシーに合わせてデフォルト値を変更できます。セキュリティー管理者がデフォルト設定を行なったあと、システム管理者がすべてのユーザーを作成できます。それらのユーザーは設定されたデフォルト値を継承します。このようなデフォルト設定のキーワードや値については、label_encodings(4) および policy.conf(4) のマニュアルページを参照してください。
表 1–2 ユーザーアカウントに関する Trusted Extensions のセキュリティーデフォルト設定
ファイル名 |
キーワード |
値 |
---|---|---|
/etc/security/policy.conf |
IDLECMD |
lock | logout |
|
IDLETIME |
30 |
|
LABELVIEW |
showsl | hidesl |
|
CRYPT_ALGORITHMS_ALLOW |
1,2a,md5 |
|
CRYPT_DEFAULT |
_unix_ |
|
LOCK_AFTER_RETRIES |
no | yes |
|
PRIV_DEFAULT |
basic |
|
PRIV_LIMIT |
all |
|
AUTHS_GRANTED |
solaris.device.cdrw |
|
PROFS_GRANTED |
Basic Solaris User |
/etc/security/tsol/label_encodings の LOCAL DEFINITIONS セクション |
Default User Clearance |
CNF NEED TO KNOW |
Default User Sensitivity Label |
PUBLIC |
システム管理者は、すべてのユーザーに適切なシステムデフォルト値を設定するための標準ユーザーテンプレートを作成できます。たとえば、デフォルトでは各ユーザーの初期シェルは Bourne シェルです。システム管理者は、各ユーザーに対して C シェルを設定したテンプレートを作成できます。詳細は、Solaris 管理コンソール のオンラインヘルプで「ユーザーアカウント」を参照してください。
Solaris OS と同様に、Trusted Extensions ソフトウェアは、最初 root ユーザーによってインストールされます。ただし、root ユーザーによるソフトウェアの構成を許可することは、安全なストラテジではありません。次に、もっとも安全なインストールと構成のストラテジから順に示します。
2 人のインストールチームがソフトウェアをインストールおよび構成します。構成プロセスは監査されます。
ソフトウェアをインストールするとき、2 人でコンピュータに向かいます。構成プロセスの早い段階で、チームはローカルユーザーおよび役割を作成します。チームは、役割によって実行されるイベントを監査するための監査も設定します。役割がユーザーに割り当てられ、コンピュータが再起動されたあと、役割によるタスク区分をソフトウェアが実施します。監査証跡が構成プロセスの記録を提供します。安全な構成プロセスの図解については、図 1–1 を参照してください。
適切な役割になって、1 人でソフトウェアをインストールおよび構成します。構成プロセスは監査されます。
構成プロセスの早い段階で、root ユーザーがローカルユーザーおよび役割を作成します。同じユーザーが、役割によって実行されるイベントをチェックするための監査も設定します。役割がローカルユーザーに割り当てられ、コンピュータが再起動されると、役割によるタスク区分をソフトウェアが実施します。監査証跡が構成プロセスの記録を提供します。
適切な役割になって、1 人でソフトウェアをインストールおよび構成します。構成プロセスは監査されません。
このストラテジでは、構成プロセスは記録されません。
root ユーザーがソフトウェアをインストールおよび構成します。構成プロセスは監査されます。
インストールチームは、構成時に root で実行されるすべてのイベントをチェックするための監査を設定します。このストラテジでは、監査するイベントを、そのチームが決定しなければなりません。監査証跡には root として操作するユーザーの名前は含まれません。
root ユーザーがソフトウェアをインストールおよび構成します。
役割によるタスク区分を次の図に示します。セキュリティー管理者は、特に、監査の設定、ファイルシステムの保護、デバイスポリシーの設定、実行権を必要とするプログラムの決定、およびユーザーの保護を担当します。システム管理者は、特に、ファイルシステムの共有とマウント、ソフトウェアパッケージのインストール、およびユーザーの作成を担当します。
Solaris OS を構成する場合と同様に、Trusted Extensions を構成する前に、システム、ユーザー、ネットワーク、およびラベルに関する情報を収集します。詳細は、「Trusted Extensions のインストール前にシステム情報を収集する」を参照してください。
保存しなければならないファイルがシステムにある場合は、Trusted Extensions ソフトウェアをインストールする前にバックアップを実行します。ファイルをもっとも安全にバックアップする方法は、レベル 0 ダンプです。適切なバックアップ手順がわからない場合、現在のオペレーティングシステムの管理者ガイドを参照してください。
Trusted Solaris 8 リリースから移行する場合、Trusted Extensions のラベルが Trusted Solaris 8 のラベルと同一であるときのみデータを復元できます。Trusted Extensions ではマルチレベルディレクトリが作成されないので、 バックアップメディアの各ファイルおよびディレクトリは、バックアップのファイルラベルと同じラベルのゾーンに復元されます。バックアップは、Trusted Extensions リリースのインストールの前に完了していなければなりません。
Trusted Extensions ソフトウェアをインストールするには、Solaris システムにパッケージをインストールします。Solaris のインストールで使用できるオプションには、セキュリティーのため、選択してはならないものもあります。詳細は、「Trusted Extensions 用 Solaris OS のインストールまたはアップグレード」を参照してください。