制限されたネットワークプロファイルを使用したセキュリティー拡張

Solaris 10 11/06 以降のリリースでは、インストール時に、ネットワークサービスのデフォルト動作を設定できるようになりました。これにより、ネットワークサービスのデフォルト動作が大幅にセキュリティー強化されます。対話式インストール (ハンズオン) の実行時、インストール構成の選択画面にこの新しいセキュリティーオプションが表示されます。自動化された JumpStart インストール (ハンズオフ) の場合、sysidcfg ファイル内で新しい service_profile キーワードを使用することで、制限されたネットワークプロファイルを選択できます。このセキュリティーオプションを使用できるのは、初期インストールを実行するときだけです。アップグレードでは、以前に設定したサービスが保持されます。ただし netservices コマンドを使用すれば、必要に応じてアップグレード後にネットワークサービスを制限することができます。

ネットワークのセキュリティーを制限する場合、多数のサービスが完全に無効になります。その他のサービスは引き続き有効ですが、ローカル接続のみに制限されます。Secure Shell は、引き続きシステムへのリモート管理アクセスに使用できます。

この制限されたネットワークプロファイルを使用すると、インターネットや LAN 上で公開されるリスクを減らすことができます。グラフィカルなデスクトップおよび外部へのネットワークアクセスは、引き続き完全に利用できます。たとえば、グラフィカルインタフェースへのアクセス、ブラウザや電子メールクライアントの使用、および NFSv4 ファイル共有のマウントを引き続き実行できます。

ネットワークサービスは、netservices open コマンドを使用するか、SMF コマンドを使用して個別にサービスを有効にする方法で、インストール後に有効にすることができます。「インストール後のセキュリティー設定の修正」を参照してください。

このセキュリティーオプションの追加情報については、次の資料を参照してください。