Trusted Extensions でのデバイスの管理 (作業マップ)
次の作業マップでは、サイトのデバイスを保護する手順について説明します。
|
作業 |
説明 |
参照先 |
|---|---|---|
|
デバイスポリシーを設定または修正します。 |
デバイスへのアクセスに必要な特権を変更します。 |
『System Administration Guide: Security Services』の「Configuring Device Policy (Task Map)」 |
|
ユーザーによるデバイス割り当てを承認します。 |
セキュリティー管理者役割が、「デバイスの割り当て」承認のあるプロファイルをユーザーに割り当てます。 |
『System Administration Guide: Security Services』の「How to Authorize Users to Allocate a Device」 |
|
セキュリティー管理者役割が、サイト固有の承認のあるプロファイルをユーザーに割り当てます。 | ||
|
デバイスを構成します。 |
セキュリティー機能を選択してデバイスを保護します。 | |
|
デバイスを解除または再利用します。 |
デバイス割り当てマネージャーを使用して、デバイスを利用できるようにします。 | |
|
Solaris コマンドを使用して、デバイスを利用可能または利用不可にします。 |
『System Administration Guide: Security Services』の「Forcibly Allocating a Device」 『System Administration Guide: Security Services』の「Forcibly Deallocating a Device」 |
|
|
割り当て可能なデバイスへのアクセスを禁止します。 |
デバイスへのきめ細かいアクセス制御を提供します。 | |
|
割り当て可能なデバイスへのすべてのアクセスを禁止します。 | ||
|
プリンタとフレームバッファーを保護します。 |
割り当て不可のデバイスが割り当て可能にならないようにします。 | |
|
シリアルログインデバイスを構成します。 |
シリアルポートによるログインを可能にします。 | |
|
CD プレイヤプログラムを使用可能にします。 |
音楽 CD を挿入したときにオーディオプレイヤプログラムが自動的に開くようにします。 | |
|
ファイルマネージャーの表示を禁止します。 |
デバイスの割り当て後にファイルマネージャーが表示されないようにします。 | |
|
新しいデバイスクリーンスクリプトを使用します。 |
新しいスクリプトを適切な場所に配置します。 |
Trusted Extensions でデバイスを構成する
デフォルトで割り当て可能なデバイスは、ラベル範囲が ADMIN_LOW から ADMIN_HIGH であり、使用するには割り当てられる必要があります。また、ユーザーはデバイス割り当てを承認されている必要があります。これらのデフォルトは、変更可能です。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
-
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
デバイス割り当てマネージャーが表示されます。
-
デフォルトのセキュリティー設定を表示します。
「デバイス管理」をクリックして、デバイスを強調表示します。次の図は、CD-ROM ドライブのデフォルトのセキュリティー設定を示しています。
-
(省略可能) デバイスのラベル範囲を制限します。
-
最小ラベルを設定します。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
-
最大ラベルを設定します。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
-
-
デバイスがローカルに割り当て可能かどうかを指定します。
「トラステッドパスからの割り当て」の「デバイス割り当て構成」ダイアログボックスで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「承認されたユーザー」オプションがチェックされています。したがって、デバイスは割り当て可能であり、ユーザーは承認が必要です。
-
デバイスが遠隔で割り当て可能かどうかを指定します。
「信頼できないパスからの割り当て」セクションで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「トラステッドパスと同じ」オプションがチェックされています。
-
デバイスが割り当て可能であり、かつサイトで新しいデバイス承認を作成してある場合、適切な承認を選択します。
次のダイアログボックスは、cdrom0 デバイスを割り当てるために solaris.device.allocate 承認が必要であることを示しています。
サイト固有のデバイス承認の作成と使用法については、「Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ) 」を参照してください。
-
「了解」をクリックして変更を保存します。
Trusted Extensions でデバイスを解除または再利用する
デバイスがデバイス割り当てマネージャーに表示されていない場合、すでに割り当てられているか、割り当てエラー状態である可能性があります。システム管理者は、利用できるようにデバイスを回復することができます。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。この役割には、solaris.device.revoke 承認が含まれています。
-
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
次の図では、オーディオデバイスがすでにユーザーに割り当てられています。
-
「デバイス管理」ボタンをクリックします。
-
デバイスの状態をチェックします。
デバイス名を選択し、「状態」フィールドを確認します。
-
デバイス割り当てマネージャーを閉じます。
Trusted Extensions で割り当て不可のデバイスを保護する
「デバイス割り当て: 構成」ダイアログボックスの「割り当てを行えるユーザー」セクションの「なし」オプションは、フレームバッファーとプリンタでもっとも頻繁に使用されます。これらのデバイスは割り当てせずに利用できるからです。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
-
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
-
デバイス割り当てマネージャーで、「デバイス管理」ボタンをクリックします。
-
新しいプリンタまたはフレームバッファーを選択します。
-
デバイスを割り当て不可にするには、「なし」をクリックします。
-
(省略可能) デバイスのラベル範囲を制限します。
-
最小ラベルを設定します。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
-
最大ラベルを設定します。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
-
-
例 17–1 オーディオデバイスの遠隔割り当ての禁止
「割り当てを行えるユーザー」セクションの「なし」オプションを使用すると、遠隔ユーザーは遠隔システム周辺の会話を聞くことができません。
セキュリティー管理者は、デバイス割り当てマネージャーで次のようにオーディオデバイスを構成します。
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate |
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users |
ログイン用のシリアル回線を構成する
始める前に
大域ゾーンでセキュリティー管理者役割になります。
-
ファイルの有効範囲で Solaris 管理コンソールを開きます。
図 17–1 Solaris 管理コンソールのシリアルポートツール
-
「デバイスおよびハードウェア」で、「シリアルポート」にナビゲートします。
求められたらパスワードを入力します。 オンラインヘルプに従って、シリアルポートを構成します。
-
デフォルトのラベル範囲を変更するには、デバイス割り当てマネージャーを開きます。
デフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
例 17–2 シリアルポートのラベル範囲の制限
シリアルログインデバイスを作成後、セキュリティー管理者はシリアルポートのラベル範囲をシングルラベル Public に制限します。管理者は、「デバイス管理」ダイアログボックスで次の値を設定します。
Device Name: /dev/term/[a|b] Device Type: tty Clean Program: /bin/true Device Map: /dev/term/[a|b] Minimum Label: Public Maximum Label: Public Allocatable By: No Users |
Trusted CDE でオーディオプレイヤプログラムを使用できるように構成する
次の手順では、ユーザーが音楽 CD を挿入したときオーディオプレイヤがTrusted CDE ワークスペースで自動的に開くようにします。ユーザーの手順については、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」の例を参照してください。
注 –
Trusted JDS ワークスペースでは、ユーザーはリムーバブルメディアの動作を、非トラステッドワークスペースで指定するのと同じように指定します。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。
-
/etc/rmmount.conf ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
-
サイトの CD プレイヤプログラムを、ファイルの cdrom アクションに追加します。
action media action_program.so path-to-program
例 17–3 オーディオプレイヤプログラムを使用できるように構成
次の例でシステム管理者は、システムのユーザーすべてが workman プログラムを使えるようにします。workman プログラムは、オーディオプレイヤプログラムです。
# /etc/rmmount.conf file action cdrom action_workman.so /usr/local/bin/workman |
デバイスの割り当て後にファイルマネージャーが表示されないようにする
デフォルトでは、デバイスをマウントすると、ファイルマネージャーが表示されます。ファイルシステムのあるデバイスをマウントしない場合、ファイルマネージャーを表示されないようにすることができます。
始める前に
大域ゾーンで、システム管理者役割になっている必要があります。
-
/etc/rmmount.conf ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
-
次の filemgr アクションを探します。
action cdrom action_filemgr.so action floppy action_filemgr.so
-
適切なアクションをコメントアウトします。
次の例は、cdrom デバイスと diskette デバイスの両方で action_filemgr.so アクションをコメントアウトしています。
# action cdrom action_filemgr.so # action floppy action_filemgr.so
CD-ROM またはフロッピーディスクを割り当てた場合、ファイルマネージャーは表示されません。
Trusted Extensions で Device_Clean スクリプトを追加する
デバイスの作成時に device_clean スクリプトが指定されていない場合、デフォルトスクリプトの /bin/true が使用されます。
始める前に
使用可能なデータをすべて物理デバイスから削除し、成功の場合は 0 を返すスクリプトを用意します。リムーバブルメディアを使用するデバイスの場合、メディアの取り出しをユーザーが行わないと、代わりにスクリプトが試行します。メディアが取り出されない場合、スクリプトによってデバイスは割り当てエラー状態になります。要件については、device_clean(5) のマニュアルページを参照してください。
大域ゾーンで、システム管理者役割になっている必要があります。
- © 2010, Oracle Corporation and/or its affiliates