この章では、Solaris Trusted Extensions が設定されたシステムの、構成可能なセキュリティー機能について説明します。
Trusted Extensions には、Solaris OS と同じセキュリティー機能に加え、いくつかの機能が追加されています。たとえば、Solaris OS には eeprom 保護、パスワードの要件、強力なパスワードアルゴリズム、ユーザーのロックアウトによるシステムの保護、キーボードによるシャットダウンからの保護が用意されています。
これらのセキュリティーのデフォルトを修正するために行う実際の手順は、Trusted Extensions と Solaris OS で異なっています。Trusted Extensions では、一般的に役割を引き受けることによってシステムを管理します。ローカル設定は、トラステッドエディタを使用して修正します。ユーザー、役割、およびホストのネットワークに影響を与える変更は、Solaris 管理コンソールで行います。
このマニュアルでは、Trusted Extensions でセキュリティー設定を変更するために特定のインタフェースが必要とされるときに、そのインタフェースが Solaris OS ではオプションである場合の手順について説明します。Trusted Extensions でトラステッドエディタを使用してローカルファイルを編集する必要がある場合については、このマニュアルでは説明していません。たとえば、「ユーザーのアカウントロックを禁止する」の手順では、アカウントがロックされるのを防ぐために、Solaris 管理コンソールを使用してユーザーのアカウントを更新する方法を説明しています。ただし、システム全体のパスワードロックのポリシーを設定する手順は説明していません。Trusted Extensions ではトラステッドエディタを使用してシステムファイルを修正することを除き、Solaris の指示に従います。
次の Solaris のセキュリティー機構は、Solaris OS の場合と同様に、Trusted Extensions で拡張可能です。
監査イベントと監査クラス – 監査イベントと監査クラスの追加については、『System Administration Guide: Security Services』の第 30 章「Managing Solaris Auditing (Tasks)」で説明しています。
権利プロファイル – 権利プロファイルの追加については、『System Administration Guide: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
役割 – 役割の追加については、『System Administration Guide: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
承認– 新しい承認の追加例については、「Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ) 」を参照してください。
Solaris OS と同様に、特権を拡張することはできません。
Trusted Extensions には、次に示す固有のセキュリティー機能が用意されています。
ラベル – サブジェクトとオブジェクトにはラベルが付けられます。プロセスにラベルが付けられます。ゾーンとネットワークにラベルが付けられます。
デバイス割り当てマネージャー – デフォルトでは、デバイスは割り当て要件により保護されます。このデバイス割り当てマネージャーの GUI は、管理者と一般ユーザー用のインタフェースです。
「パスワードを変更」メニュー項目– トラステッドパスメニューにより、ユーザーパスワードと、自分がなった役割のパスワードを変更できます。
システムのセキュリティーを低下させないため、管理者は、パスワード、ファイル、および監査データを保護する必要があります。ユーザーは、各自の役目を果たせるようにトレーニングを受ける必要があります。評価された構成の要件に矛盾しないように、この節のガイドラインに従ってください。
各サイトのセキュリティー管理者は、ユーザーがセキュリティー手順のトレーニングを受けたか確認します。セキュリティー管理者は、新しい従業員に次の規則を伝え、既存の従業員に対してもこれらの規則への注意を定期的に喚起する必要があります。
他人に教えないでください。
パスワードを他人に知られると、権限のない人物が自分と同じ情報にアクセスできることになります。
自分のパスワードを書き留めたり、電子メールのメッセージに入力しないでください。
推測しにくいパスワードを選択してください。
パスワードを電子メールで他人に送信しないでください。
画面をロックせずに、またはログオフすることなく、コンピュータから離れないでください。
ユーザーに指示を出すときに管理者は電子メールを信頼していないことに留意してください。管理者からの指示が電子メールで届いた場合は、最初に必ず管理者に確認してください。
電子メールの送信者情報は偽造されている可能性があることに注意してください。
作成したファイルとディレクトリのアクセス権は各自に責任があるため、自分で作成したファイルやディレクトリのアクセス権が適切に設定されていることを確認してください。権限のないユーザーに対して、ファイルの読み取り、ファイルの変更、ディレクトリの内容の表示、またはディレクトリへの追加を許可しないでください。
管理者のサイトでは、ほかにも提案を追加できます。
電子メールを使用してユーザーに指示を伝えるのは安全な方法ではありません。
管理者を装って送信された電子メールの指示は信用しないように、ユーザーに通知してください。これにより、偽の電子メールメッセージによって、ユーザーがパスワードを特定の値に変更したり、パスワードを公表したりする可能性を避けることができます。結果的に、攻撃者が入手したパスワードでシステムにログインし被害を与えることを防止できます。
システム管理者役割は、新しいアカウントを作成するときに一意のユーザー名とユーザー ID を指定する必要があります。管理者は新しいアカウントの名前と ID を選択するときに、ユーザー名とユーザー名に関連付ける ID のどちらもネットワーク全体で重複がなく、以前に使用されていないことを確認する必要があります。
セキュリティー管理者役割は、各アカウントの初期パスワードを指定し、これを新しいアカウントのユーザーに伝える責任があります。パスワードを管理するときに次の情報を考慮してください。
セキュリティー管理者役割になることができるユーザーのアカウントは、アカウントがロックされないように構成してください。これにより、少なくとも 1 つのアカウントは常にログイン可能で、ほかのアカウントがすべてロックされた場合でも、セキュリティー管理者役割になってこれらのアカウントを再度開くことができるようにします。
新しいアカウントのユーザーにパスワードを伝えるときには、他人に知られないような方法を使用してください。
アカウントのパスワードを知るべきではない第三者に知られた疑いがある場合は、パスワードを変更してください。
そのシステムが存続している間は、一度使用したユーザー名やユーザー ID は再利用しないでください。
ユーザー名やユーザー ID を再利用しないことで、次のような混乱を避けることができます。
監査記録を分析するときに、だれがどのアクションを実行したかがわからなくなる。
アーカイブしたファイルを復元するときに、どのユーザーがどのファイルを所有しているかわからなくなる。
管理者は、セキュリティーが重要なファイルについて、任意アクセス制御 (DAC) と必須アクセス制御 (MAC) の保護を正しく設定して保守する責任があります。重要なファイルには、次のようなファイルが含まれます。
shadow ファイル – 暗号化されたパスワードが含まれます。shadow(4) のマニュアルページを参照してください。
prof_attr データベース – 権利プロファイルの定義が含まれます。prof_attr(4) のマニュアルページを参照してください。
exec_attr データベース – 権利プロファイルの一部であるコマンドとアクションが含まれます。exec_attr(4) のマニュアルページを参照してください。
user_attr file – ローカルユーザーに割り当てられている権利プロファイル、特権、および承認が含まれます。user_attr(4) のマニュアルページを参照してください。
Audit trail – 監査サービスによって収集された監査記録が含まれます。audit.log(4) のマニュアルページを参照してください。
LDAP エントリの保護機構は、Trusted Extensions ソフトウェアで実施されるアクセス制御ポリシーの影響を受けないため、デフォルトの LDAP エントリを拡張したり、LDAP のアクセス規則を変更してはいけません。
ローカルファイルでは、パスワードは DAC によって表示から保護され、DAC と MAC の両方によって修正から保護されます。ローカルアカウントのパスワードは /etc/shadow ファイルに保持されます。このファイルを読み取ることができるのはスーパーユーザーだけです。詳細は、shadow(4) のマニュアルページを参照してください。
システム管理者役割は、ローカルシステムとネットワークで、すべてのグループに一意のグループ ID (GID) が設定されていることを確認する必要があります。
ローカルグループをシステムから削除する場合、システム管理者役割は次のことを確認する必要があります。
削除するグループの GID を持つオブジェクトはすべて、削除するか、別のグループに割り当てる必要があります。
アカウントをシステムから削除する場合、システム管理者役割とセキュリティー管理者役割は、次の操作を実行する必要があります。
各ゾーンのアカウントのホームディレクトリを削除します。
削除するアカウントに属するプロセスまたはジョブをすべて削除します。
そのアカウントが所有するオブジェクトをすべて削除するか、または所有権を別のユーザーに割り当てます。
ユーザーの代わりに、予定されている at または batch ジョブをすべて削除します。詳細は、at(1) および crontab(1) のマニュアルページを参照してください。
絶対にユーザー (アカウント) 名またはユーザー ID を再利用しないでください。
デフォルトでは、一般ユーザーはファイルと選択範囲の両方に対して、カット&ペースト、コピー&ペースト、およびドラッグ&ドロップ操作を実行できます。ソースとターゲットは、同じラベルである必要があります。
ファイルのラベルや、ファイルに含まれる情報のラベルを変更するには、承認が必要です。ユーザーがデータのセキュリティーレベルを変更することが承認されている場合は、選択マネージャーアプリケーションを介して転送が行われます。Trusted CDE では、/usr/dt/config/sel_config ファイルが、ファイルのラベルを再設定するアクションや、別のラベルへの情報のカットおよびコピーを制御します。Trusted JDS では、/usr/share/gnome/sel_config ファイルがこれらの転送を制御します。Trusted CDE では、/usr/dt/bin/sel_mgr アプリケーションがウィンドウ間のドラッグ&ドロップ操作を制御します。次の表が示すように、選択範囲の再ラベル付けはファイルの再ラベル付けよりも多くの制限が加わります。
次の表に、ファイルの再ラベル付け規則の概要を示します。この規則は、カット&ペースト、コピー&ペースト、およびドラッグ&ドロップを対象としています。
表 4–1 新しいラベルにファイルを移動する条件
トランザクションの説明 |
ラベルの関係 |
所有者の関係 |
必要な承認 |
---|---|---|---|
ファイルマネージャー間でのファイルのコピー&ペースト、カット&ペースト、またはドラッグ&ドロップ |
同一ラベル |
同一 UID |
なし |
ダウングレード |
同一 UID |
solaris.label.file.downgrade |
|
アップグレード |
同一 UID |
solaris.label.file.upgrade |
|
ダウングレード |
異なる UID |
solaris.label.file.downgrade |
|
アップグレード |
異なる UID |
solaris.label.file.upgrade |
ウィンドウ内やファイル内の選択範囲には、異なる規則が適用されます。「選択範囲」のドラッグ&ドロップでは、常にラベルと所有者が同じである必要があります。ウィンドウ間のドラッグ&ドロップは、sel_config ファイルではなく、選択マネージャーアプリケーションを介して行われます。
選択範囲のラベルを変更するための規則を、次の表に示します。
表 4–2 新しいラベルに選択範囲を移動する条件
トランザクションの説明 |
ラベルの関係 |
所有者の関係 |
必要な承認 |
---|---|---|---|
ウィンドウ間での選択範囲のコピー&ペースト、またはカット&ペースト |
同一ラベル |
同一 UID |
なし |
ダウングレード |
同一 UID |
solaris.label.win.downgrade |
|
アップグレード |
同一 UID |
solaris.label.win.upgrade |
|
ダウングレード |
異なる UID |
solaris.label.win.downgrade |
|
アップグレード |
異なる UID |
solaris.label.win.upgrade |
|
ウィンドウ間での選択範囲のドラッグ&ドロップ |
同一ラベル |
同一 UID |
適用なし |
Trusted Extensions により、ラベル変更を伝達するための選択確認ダイアログボックスが表示されます。承認されたユーザーがファイルまたは選択範囲のラベルを変更しようとすると、このダイアログボックスが表示されます。ユーザーは 120 秒以内に操作を確定します。このウィンドウを使用せずにデータのセキュリティーレベルを変更するには、ラベル変更の承認に加えて、solaris.label.win.noview 承認が必要です。次の図はウィンドウでの選択範囲 zonename を示しています。
デフォルトでは、データを別のラベルに転送するごとに選択範囲確認のダイアログボックスが表示されます。1 つの選択範囲に複数の転送を決定する必要がある場合は、自動応答メカニズムにより複数の転送に 1 度で応答できます。詳細は、sel_config(4) のマニュアルページと次の節を参照してください。
sel_config ファイルは、操作によってラベルがアップグレードまたはダウングレードされる場合の、選択範囲確認ダイアログボックスの動作を決定するために確認されます。
この sel_config ファイルでは、次の内容を定義します。
自動応答する選択範囲の種類のリスト
特定の種類の操作を自動的に確認するかどうか
選択範囲確認のダイアログボックスを表示するかどうか
セキュリティー管理者役割は、Trusted CDE で Trusted_Extensions フォルダの「選択範囲確認の設定」アクションを使用して、デフォルトを変更できます。新しい設定は、次回のログイン時に有効になります。Solaris Trusted Extensions (JDS) では CDE アクションは使用できません。デフォルトを変更するには、/usr/share/gnome/sel_config ファイルをテキストエディタで変更します。
Solaris Trusted Extensions (CDE) では、ユーザーは、フロントパネルにアクションを追加したり、ワークスペースメニューをカスタマイズしたりできます。Trusted Extensions ソフトウェアは、ユーザーによる CDE へのプログラムとコマンドの追加を制限しています。
アプリケーションマネージャーの既存のアクションは、修正を行うアカウントのプロファイルにそのアクションがあれば、だれでもフロントパネルにドラッグ&ドロップすることができます。/usr/dt/ または /etc/dt/ ディレクトリにあるアクションはフロントパネルに追加できます。ただし、$HOME/.dt/appconfig ディレクトリにあるアプリケーションは追加できません。ユーザーは「アクション作成」アクションを使用できますが、システム全体で使用するアクションが保存されているディレクトリに書き込みを行うことはできません。したがって、一般ユーザーは使用可能なアクションを作成できません。
Trusted Extensions では、アクションの検索パスが変更されています。個人のホームディレクトリにあるアクションは、最初ではなく最後に処理されます。したがって、既存のアクションをカスタマイズすることはできません。
セキュリティー管理者役割には「管理エディタ」アクションが割り当てられているので、/usr/dt/appconfig/types/C/dtwm.fp ファイルやフロントパネルサブパネル用のほかの構成ファイルに必要な修正を行うことができます。
ワークスペースメニューは、ワークスペースの背景をマウスボタン 3 でクリックしたときに表示されるメニューです。一般ユーザーは、メニューをカスタマイズし、メニューに項目を追加することができます。
複数ラベルでの作業がユーザーに許可されている場合は、次の条件が適用されます。
ユーザーは大域ゾーンにホームディレクトリを所有している必要があります。
カスタマイズを保存するには、大域ゾーンのプロセスが正しいラベルでユーザーのホームディレクトリに書き込める必要があります。大域ゾーンプロセスで書き込み可能なユーザーのホームディレクトリへのゾーンパスは、次のようなパスになります。
/zone/zone-name/home/username |
ユーザーは一般ユーザーのワークスペースで、「メニューをカスタマイズ」と「ワークスペースメニューに項目を追加」のオプションを使用する必要があります。ユーザーは各ラベルごとに異なるカスタマイズを作成できます。
ユーザーが役割になるときに、ワークスペースメニューへの変更は維持されます。
ワークスペースメニューに対する変更は、ユーザーの現在のラベルのホームディレクトリに保存されます。カスタマイズされるメニューファイルは .dt/wsmenu です。
ユーザーの権利プロファイルでは、必要なアクションをユーザーが実行できるようにします。
ワークスペースメニューに追加するアクションは、ユーザーの権利プロファイルのいずれかで処理する必要があります。そうしなければ、アクションの呼び出しに失敗し、エラーメッセージが表示されます。
たとえば、アクションまたはアクションが呼び出すコマンドがアカウントの権利プロファイルのいずれにもない場合でも、「実行」アクションを設定したユーザーはだれでも、任意の実行可能ファイルのアイコンをダブルクリックして実行することができます。デフォルトでは、役割に「実行」アクションは割り当てられていません。したがって、「実行」アクションを必要とするメニュー項目は、役割によって実行された場合に失敗します。