次の作業マップでは、サイトのデバイスを保護する手順について説明します。
作業 |
説明 |
参照先 |
---|---|---|
デバイスポリシーを設定または修正します。 |
デバイスへのアクセスに必要な特権を変更します。 |
『System Administration Guide: Security Services』の「Configuring Device Policy (Task Map)」 |
ユーザーによるデバイス割り当てを承認します。 |
セキュリティー管理者役割が、「デバイスの割り当て」承認のあるプロファイルをユーザーに割り当てます。 |
『System Administration Guide: Security Services』の「How to Authorize Users to Allocate a Device」 |
セキュリティー管理者役割が、サイト固有の承認のあるプロファイルをユーザーに割り当てます。 | ||
デバイスを構成します。 |
セキュリティー機能を選択してデバイスを保護します。 | |
デバイスを解除または再利用します。 |
デバイス割り当てマネージャーを使用して、デバイスを利用できるようにします。 | |
Solaris コマンドを使用して、デバイスを利用可能または利用不可にします。 |
『System Administration Guide: Security Services』の「Forcibly Allocating a Device」 『System Administration Guide: Security Services』の「Forcibly Deallocating a Device」 |
|
割り当て可能なデバイスへのアクセスを禁止します。 |
デバイスへのきめ細かいアクセス制御を提供します。 | |
割り当て可能なデバイスへのすべてのアクセスを禁止します。 | ||
プリンタとフレームバッファーを保護します。 |
割り当て不可のデバイスが割り当て可能にならないようにします。 | |
シリアルログインデバイスを構成します。 |
シリアルポートによるログインを可能にします。 | |
CD プレイヤプログラムを使用可能にします。 |
音楽 CD を挿入したときにオーディオプレイヤプログラムが自動的に開くようにします。 | |
ファイルマネージャーの表示を禁止します。 |
デバイスの割り当て後にファイルマネージャーが表示されないようにします。 | |
新しいデバイスクリーンスクリプトを使用します。 |
新しいスクリプトを適切な場所に配置します。 |
デフォルトで割り当て可能なデバイスは、ラベル範囲が ADMIN_LOW から ADMIN_HIGH であり、使用するには割り当てられる必要があります。また、ユーザーはデバイス割り当てを承認されている必要があります。これらのデフォルトは、変更可能です。
大域ゾーンでセキュリティー管理者役割になります。
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
デバイス割り当てマネージャーが表示されます。
デフォルトのセキュリティー設定を表示します。
「デバイス管理」をクリックして、デバイスを強調表示します。次の図は、CD-ROM ドライブのデフォルトのセキュリティー設定を示しています。
(省略可能) デバイスのラベル範囲を制限します。
最小ラベルを設定します。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
最大ラベルを設定します。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
デバイスがローカルに割り当て可能かどうかを指定します。
「トラステッドパスからの割り当て」の「デバイス割り当て構成」ダイアログボックスで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「承認されたユーザー」オプションがチェックされています。したがって、デバイスは割り当て可能であり、ユーザーは承認が必要です。
デバイスが遠隔で割り当て可能かどうかを指定します。
「信頼できないパスからの割り当て」セクションで、「割り当てを行えるユーザー」リストからオプションを選択します。デフォルトでは、「トラステッドパスと同じ」オプションがチェックされています。
デバイスが割り当て可能であり、かつサイトで新しいデバイス承認を作成してある場合、適切な承認を選択します。
次のダイアログボックスは、cdrom0 デバイスを割り当てるために solaris.device.allocate 承認が必要であることを示しています。
サイト固有のデバイス承認の作成と使用法については、「Trusted Extensions でのデバイス承認のカスタマイズ (作業マップ) 」を参照してください。
「了解」をクリックして変更を保存します。
デバイスがデバイス割り当てマネージャーに表示されていない場合、すでに割り当てられているか、割り当てエラー状態である可能性があります。システム管理者は、利用できるようにデバイスを回復することができます。
大域ゾーンで、システム管理者役割になっている必要があります。この役割には、solaris.device.revoke 承認が含まれています。
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
次の図では、オーディオデバイスがすでにユーザーに割り当てられています。
「デバイス管理」ボタンをクリックします。
デバイスの状態をチェックします。
デバイス名を選択し、「状態」フィールドを確認します。
デバイス割り当てマネージャーを閉じます。
「デバイス割り当て: 構成」ダイアログボックスの「割り当てを行えるユーザー」セクションの「なし」オプションは、フレームバッファーとプリンタでもっとも頻繁に使用されます。これらのデバイスは割り当てせずに利用できるからです。
大域ゾーンでセキュリティー管理者役割になります。
「トラステッドパス」メニューから「デバイスの割り当て」を選択します。
デバイス割り当てマネージャーで、「デバイス管理」ボタンをクリックします。
新しいプリンタまたはフレームバッファーを選択します。
デバイスを割り当て不可にするには、「なし」をクリックします。
(省略可能) デバイスのラベル範囲を制限します。
最小ラベルを設定します。
「最小ラベル...」ボタンをクリックします。ラベルビルダーから最小ラベルを選択します。ラベルビルダーの詳細は、「Trusted Extensions のラベルビルダー」を参照してください。
最大ラベルを設定します。
「最大ラベル...」ボタンをクリックします。ラベルビルダーから最大ラベルを選択します。
「割り当てを行えるユーザー」セクションの「なし」オプションを使用すると、遠隔ユーザーは遠隔システム周辺の会話を聞くことができません。
セキュリティー管理者は、デバイス割り当てマネージャーで次のようにオーディオデバイスを構成します。
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate |
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users |
大域ゾーンでセキュリティー管理者役割になります。
ファイルの有効範囲で Solaris 管理コンソールを開きます。
「デバイスおよびハードウェア」で、「シリアルポート」にナビゲートします。
求められたらパスワードを入力します。 オンラインヘルプに従って、シリアルポートを構成します。
デフォルトのラベル範囲を変更するには、デバイス割り当てマネージャーを開きます。
デフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
シリアルログインデバイスを作成後、セキュリティー管理者はシリアルポートのラベル範囲をシングルラベル Public に制限します。管理者は、「デバイス管理」ダイアログボックスで次の値を設定します。
Device Name: /dev/term/[a|b] Device Type: tty Clean Program: /bin/true Device Map: /dev/term/[a|b] Minimum Label: Public Maximum Label: Public Allocatable By: No Users |
次の手順では、ユーザーが音楽 CD を挿入したときオーディオプレイヤがTrusted CDE ワークスペースで自動的に開くようにします。ユーザーの手順については、『Oracle Solaris Trusted Extensions ユーザーズガイド』の「Trusted Extensions でデバイスを割り当てる」の例を参照してください。
Trusted JDS ワークスペースでは、ユーザーはリムーバブルメディアの動作を、非トラステッドワークスペースで指定するのと同じように指定します。
大域ゾーンで、システム管理者役割になっている必要があります。
/etc/rmmount.conf ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
サイトの CD プレイヤプログラムを、ファイルの cdrom アクションに追加します。
action media action_program.so path-to-program |
次の例でシステム管理者は、システムのユーザーすべてが workman プログラムを使えるようにします。workman プログラムは、オーディオプレイヤプログラムです。
# /etc/rmmount.conf file action cdrom action_workman.so /usr/local/bin/workman |
デフォルトでは、デバイスをマウントすると、ファイルマネージャーが表示されます。ファイルシステムのあるデバイスをマウントしない場合、ファイルマネージャーを表示されないようにすることができます。
大域ゾーンで、システム管理者役割になっている必要があります。
/etc/rmmount.conf ファイルを編集します。
トラステッドエディタを使用します。詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。
次の filemgr アクションを探します。
action cdrom action_filemgr.so action floppy action_filemgr.so |
適切なアクションをコメントアウトします。
次の例は、cdrom デバイスと diskette デバイスの両方で action_filemgr.so アクションをコメントアウトしています。
# action cdrom action_filemgr.so # action floppy action_filemgr.so |
CD-ROM またはフロッピーディスクを割り当てた場合、ファイルマネージャーは表示されません。
デバイスの作成時に device_clean スクリプトが指定されていない場合、デフォルトスクリプトの /bin/true が使用されます。
使用可能なデータをすべて物理デバイスから削除し、成功の場合は 0 を返すスクリプトを用意します。リムーバブルメディアを使用するデバイスの場合、メディアの取り出しをユーザーが行わないと、代わりにスクリプトが試行します。メディアが取り出されない場合、スクリプトによってデバイスは割り当てエラー状態になります。要件については、device_clean(5) のマニュアルページを参照してください。
大域ゾーンで、システム管理者役割になっている必要があります。