Trusted Extensions でのユーザーへのセキュリティー属性の割り当て

ユーザーアカウントが作成されると、セキュリティー管理者役割は Solaris 管理コンソールを使用して、ユーザーにセキュリティー属性を割り当てます。正しいデフォルトを設定した場合、次の手順としては、デフォルトに対する例外を必要とするユーザーのみにセキュリティー属性を割り当てることです。

セキュリティー属性をユーザーに割り当てる場合、セキュリティー管理者は次の事項について考慮する必要があります。

パスワードの割り当て

ユーザーアカウントが作成されたら、セキュリティー管理者役割はユーザーアカウントにパスワードを割り当てます。最初の割り当てのあと、ユーザーはパスワードを変更できます。

Solaris OS の場合と同様に、ユーザーに定期的なパスワードの変更を強制することができます。パスワードの有効期限オプションは、パスワードを推測または盗むことができる侵入者がシステムにアクセスできる期間を制限します。変更が可能になるまでの最低期間を設定すると、新しいパスワードに変更したユーザーがすぐに古いパスワードに戻すのを防ぐこともできます。詳細は、passwd(1) のマニュアルページを参照してください。

---

注 –

役割になれるユーザーのパスワードは、パスワードの有効期限の制約を受けないようにします。

---

役割の割り当て

1 人のユーザーに 1 つの役割を割り当てる必要はありません。サイトのセキュリティーポリシーに矛盾しなければ、1 人のユーザーに複数の役割を割り当てることができます。

承認の割り当て

Solaris OS と同様、承認をユーザーに直接割り当てると、これらの承認は既存の承認に追加されます。Trusted Extensions では、承認を権利プロファイルに追加し、プロファイルをユーザーに割り当てます。

権利プロファイルの割り当て

Solaris OS と同様に、 プロファイルの順序は重要です。プロファイルの機構は、アカウントのプロファイルセットにある最初のコマンドまたはアクションのインスタンスを使用します。

プロファイルの整列順を利用することができます。既存のプロファイルの定義と異なるセキュリティー属性でコマンドを実行する場合は、コマンドに目的の属性を割り当てた新しいプロファイルを作成します。続いて、既存のプロファイルの前に新しいプロファイルを挿入します。

---

注 –

管理アクションまたは管理コマンドを含む権利プロファイルは、一般ユーザーに割り当てないでください。一般ユーザーは大域ゾーンに入れないため、プロファイルが機能しません。

---

特権デフォルトの変更

多くのサイトにとって、デフォルトの特権セットでは厳格さが足りません。システム上のすべての一般ユーザーに対して特権セットを制限するには、policy.conf ファイルの設定を変更します。個々のユーザーの特権セットを変更するには、Solaris 管理コンソール を使用します。例については、「ユーザーの特権セットを制限する」を参照してください。

ラベルのデフォルトの変更

ユーザーのラベルのデフォルトを変更すると、label_encodings ファイルのユーザーデフォルトの例外が作成されます。

監査デフォルトの変更

Solaris OS の場合と同様、ユーザーに監査クラスを割り当てると、システムの/etc/security/audit_control ファイルに割り当てられている監査クラスの例外が作成されます。監査の詳細は、第 18 章Trusted Extensions での監査 (概要)を参照してください。