test

Oracle Solaris Trusted Extensions 管理の手順

セキュリティーのためのユーザー環境のカスタマイズ (作業マップ)

すべてのユーザー用にシステムをカスタマイズする、または個々のユーザーアカウントをカスタマイズするときに実行できる一般的なタスクは、次の作業マップのとおりです。

作業 

説明 

参照先 

ラベル属性の変更 

最小ラベルやデフォルトのラベル表示など、ユーザーアカウントのラベル属性を変更します。 

「デフォルトのユーザーラベル属性を修正する」

システムのすべてのユーザーに対して Trusted Extensions ポリシーを変更します。 

policy.conf ファイルを変更します。

policy.conf のデフォルトを修正する」

設定した時間のあとにスクリーンセーバーを起動します。 

設定した一定時間システムがアイドルになったあとにユーザーをログアウトします。 

例 7–1

システムの一般ユーザーすべてから不要な特権を削除します。 

例 7–2

   

公共キオスクでのプリントアウトからラベルを削除します。 

例 7–3

ユーザーの初期設定ファイルを構成します。 

.cshrc.copy_files.soffice など、すべてのユーザーの起動ファイルを構成します。

「Trusted Extensions のユーザーの起動ファイルを構成する」

ファイルのラベル再設定のタイムアウトを延長します。 

一部のアプリケーションで承認ユーザーがファイルのラベルを再設定できるように構成します。 

「情報にラベルを再設定するときのタイムアウトを延長する」

フェイルセーフセッションへログインします。 

ユーザーの初期設定ファイルの障害を修正します。 

「Trusted Extensions でフェイルセーフセッションにログインする」

Procedureデフォルトのユーザーラベル属性を修正する

最初のシステムの構成中に、デフォルトのユーザーラベル属性を変更することができます。変更はすべての Trusted Extensions ホストにコピーする必要があります。

始める前に

大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

  1. /etc/security/tsol/label_encodings ファイルで、デフォルトのユーザー属性設定を確認します。

    デフォルトについては label_encodings ファイルのデフォルト」を参照してください。

  2. label_encodings ファイルで、ユーザー属性設定を修正します。

    トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。Trusted CDE では、「ラベルエンコーディングの編集」アクションも使用できます。詳細は、「Trusted Extensions の CDE 管理アクションを起動する」を参照してください。

    label_encodings ファイルは、すべてのホストで同一である必要があります。

  3. ファイルのコピーを各 Trusted Extensions ホストに配布します。

Procedurepolicy.conf のデフォルトを修正する

Trusted Extensions で policy.conf のデフォルトを変更する方法は、Solaris OS でセキュリティー関連のシステムファイルを変更する方法に類似しています。Trusted Extensions では、トラステッドエディタを使用してシステムファイルを修正します。

始める前に

大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

  1. /etc/security/policy.conf ファイルで、デフォルト設定を確認します。

    Trusted Extensions のキーワードについては、表 6–1 を参照してください。

  2. 設定を修正します。

    トラステッドエディタを使用して、システムファイルを編集します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

例 7–1 システムのアイドル設定の変更

この例では、セキュリティー管理者が、アイドル状態のシステムがログイン画面に戻るように設定します。デフォルトでは、アイドル状態のシステムはロックされます。そこで、セキュリティー管理者役割は次のようにして、IDLECMD キーワード = 値のペアを /etc/security/policy.conf ファイルに追加します。


IDLECMD=LOGOUT

また管理者は、システムがアイドル状態になってからログアウトするまでの時間を短くします。そこで、セキュリティー管理者役割は次のようにして、IDLETIME キーワード = 値のペアを policy.conf ファイルに追加します。


IDLETIME=10

これで、システムが 10 分間アイドル状態になったあとでユーザーがログアウトされるようになります。

例 7–2 各ユーザーの基本的な特権セットの修正

この例では、Sun Ray インストールのセキュリティー管理者が、一般ユーザーにほかの Sun Ray ユーザーのプロセスを表示できないようにします。そこで、Trusted Extensions によって構成されている各システムで、管理者は基本的な特権セットから proc_info を削除します。/etc/policy.conf ファイルの PRIV_DEFAULT 設定を、次のように修正します。


PRIV_DEFAULT=basic,!proc_info
例 7–3 システムのすべてのユーザーに対する印刷関連の承認の割り当て

この例では、セキュリティー管理者が、コンピュータの /etc/security/policy.conf ファイルで次のように入力して、公共キオスクコンピュータからラベルのない印刷をできるようにしています。次の起動以降、このキオスクのあらゆるユーザーによる印刷ジョブは、ページラベルなしで実行されます。


AUTHS_GRANTED= solaris.print.unlabeled

管理者は次に、バナーページとトレーラページを削除して、紙を節約することにします。管理者はまず、印刷マネージャーの「バナーを常に印刷」チェックボックスがチェックされていないことを確認します。次に、policy.conf エントリを次のように修正し、再起動します。これで、すべての印刷ジョブはラベルなしになり、バナーページもトレーラページもなくなります。


AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner

ProcedureTrusted Extensions のユーザーの起動ファイルを構成する

ユーザーは、.copy_files ファイルと .link_files ファイルを、最小の機密ラベルに対応するラベルのホームディレクトリに配置することができます。また、ユーザーの最小ラベルで既存の .copy_files および .link_files ファイルを修正することもできます。この手順は、管理者役割がサイトの設定を自動化するためのものです。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

  1. 2 つの Trusted Extensions 起動ファイルを作成します。

    起動ファイルのリストに、.copy_files および .link_files を追加します。


    # cd /etc/skel
# touch .copy_files .link_files

  2. .copy_files ファイルをカスタマイズします。

    1. トラステッドエディタを起動します。

      詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

    2. .copy_files ファイルへのフルパス名を入力します。


      /etc/skel/.copy_files

    3. .copy_files に、すべてのラベルでユーザーのホームディレクトリにコピーするファイルを、1 行に 1 ファイルずつ入力します。

      .copy_files ファイルと .link_files ファイル」 を参照してください。サンプルファイルについては、例 7–4 を参照してください。

  3. .link_files ファイルをカスタマイズします。

    1. トラステッドエディタで、.link_files ファイルへのフルパス名を入力します。


      /etc/skel/.link_files

    2. .link_files に、すべてのラベルでユーザーのホームディレクトリにリンクするファイルを、1 行に 1 ファイルずつ入力します。

  4. ユーザーのほかの起動ファイルをカスタマイズします。

  5. (省略可能) デフォルトのシェルがプロファイルシェルであるユーザーに、 skelP サブディレクトリを作成します。

    P はプロファイルシェルを表します。

  6. カスタマイズした起動ファイルを、適切なスケルトンディレクトリにコピーします。

  7. ユーザーを作成するときには、適切な skelX パス名を使用します。

    X はシェル名の先頭の文字を表します。たとえば、Bourne シェルの場合は B、Korn シェルの場合は K、C シェルの場合は C、プロファイルシェルの場合は P です。

例 7–4 ユーザーの起動ファイルのカスタマイズ

この例では、セキュリティー管理者が各ユーザーのホームディレクトリのファイルを構成します。ファイルは、ユーザーのログイン前に配置されています。ファイルは、ユーザーの最小ラベルにあります。このサイトでは、ユーザーのデフォルトのシェルは C シェルです。

セキュリティー管理者は、トラステッドエディタで次の内容を含む .copy_files および .link_files ファイルを作成します。


## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq
 

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.cshrc
.login
.Xdefaults
.Xdefaults-hostname
:wq
 

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
.Xdefaults
.Xdefaults-hostname
:wq

シェルの初期設定ファイルで、管理者はユーザーの印刷ジョブがラベル付きプリンタで実行されることを確認します。


## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1
 

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

管理者は、.Xdefaults- home-directory-server ファイルを修正して、dtterm コマンドによる新しい端末の .profile ファイルの読み取りを強制しました。


## Xdefaults-HDserver
Dtterm*LoginShell: true

カスタマイズしたファイルが、適切なスケルトンディレクトリにコピーされます。


$ cp .copy_files .link_files .cshrc .login .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelC
$ cp .copy_files .link_files .ksh .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelK
注意事項

最小のラベルで .copy_files ファイルを作成する場合、上位のゾーンにログインして updatehome コマンドを実行します。コマンドがアクセスエラーで失敗したら、次のようにしてください。

ホームディレクトリの NFS マウントを使用しないかぎり、上位ゾーンのオートマウンタは /zone/lower-level-zone/export/home/username から /zone/lower-level-zone/home/username にループバックマウントするはずです。

Procedure情報にラベルを再設定するときのタイムアウトを延長する

Trusted Extensions では、選択マネージャーがラベル間の情報の転送を仲介します。選択マネージャーは、ドラッグ&ドロップ操作やカット&ペースト操作のときに表示されます。一部のアプリケーションでは、選択マネージャーが介入する時間を考慮して、適切なタイムアウトを設定する必要があります。時間は 2 分で十分です。

注意 – 注意 –

ラベルなしのシステムでは、デフォルトのタイムアウト値を変更しないでください。デフォルト値よりも長いタイムアウト値に変更すると、処理はエラーとなります。

始める前に

大域ゾーンで、システム管理者役割になっている必要があります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

  1. StarSuite アプリケーションの場合は、次の手順を実行します。

    1. ファイル office-install-directory/VCL.xcu にナビゲートします。

      office-install-directory は StarSuite のインストールディレクトリで、たとえば次のようになります。


      office-top-dir/share/registry/data/org/staroffice

    2. SelectionTimeout プロパティーの値を 120 に変更します。

      トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

      デフォルト値は 3 秒です。値を 120 に設定すると、タイムアウトは 2 分になります。

  2. GNOME ToolKit (GTK) ライブラリを利用するアプリケーションのユーザーの場合は、選択タイムアウトのプロパティー値を 2 分に変更します。

    注 –

    別な方法として、各ユーザーに選択タイムアウトのプロパティー値を変更させることもできます。

    大部分の Sun Java Desktop System アプリケーションは、GTK ライブラリを利用します。Mozilla、Firefox、Thunderbird などの Web ブラウザも GTK ライブラリを利用しています。

    デフォルトでは、選択のタイムアウト値は 300、つまり 5 秒です。値を 7200 に設定すると、タイムアウトは 2 分になります。

    1. GTK 起動ファイルを作成します。

      ファイル名は .gtkrc-mine とします。 .gtkrc-mine ファイルは、最小ラベルのユーザーのホームディレクトリに所属します。

    2. このファイルに、選択のタイムアウト値を追加します。


      ## $HOME/.gtkrc-mine file
*gtk-selection-timeout: 7200

      Solaris OS の場合と同じように、gnome-settings-daemon が起動時にこのファイルを読み取ります。

  3. (省略可能) .gtkrc-mine ファイルを、各ユーザーの .link_files ファイルのリストに追加します。

    詳細については、「Trusted Extensions のユーザーの起動ファイルを構成する」を参照してください。

ProcedureTrusted Extensions でフェイルセーフセッションにログインする

Trusted Extensions では、復旧ログインは保護されています。一般ユーザーがシェル初期設定ファイルをカスタマイズしており、現在ログインできない場合は、フェイルセーフログインを使用してユーザーのファイルを修正することができます。

始める前に

root のパスワードを知っている必要があります。

  1. Solaris OS の場合と同様に、ログイン画面で「オプション (Options)」メニューから「復旧セッション (Failsafe Session)」を選択します。

  2. プロンプトに従って、ユーザーがユーザー名とパスワードを入力します。

  3. root のパスワードを求めるプロンプトで、root のパスワードを入力します。

    これで、ユーザーの初期設定ファイルをデバッグできるようになります。