ネットワークセキュリティーの計画
Solaris 10 11/06 以降のリリースでは、初期インストール時にネットワークセキュリティー設定を変更することができ、Secure Shell を除くすべてのネットワークサービスを無効にしたり、応答する要求をローカル要求だけに制限したりすることができます。このオプションを使用すると、リモートの攻撃者から攻撃や侵入を受ける可能性を最小限に抑えることができます。また、このオプションを利用することで、必要なサービスだけを有効にできます。このセキュリティーオプションを使用できるのは初期インストールのときだけで、アップグレード時には使用できません。アップグレードでは、以前に設定されたすべてのサービスの設定内容が保持されます。ただし netservices コマンドを使用すれば、必要に応じてアップグレード後にネットワークサービスを制限することができます。
使用しているインストールプログラムに応じて、ネットワークサービスを制限するか、サービスをデフォルトで有効にするかを選択できます。
-
Solaris の対話式インストールでは、以前の Solaris リリースと同様に、ネットワークサービスをデフォルトで有効にするオプションを選択できます。また、ネットワークサービスを制限するオプションを選択することもできます。対話式インストールの詳細は、『Oracle Solaris 10 9/10 インストールガイド (基本編)』の第 2 章「Solaris インストールプログラムによる UFS ファイルシステムのインストール (作業)」を参照してください。
-
自動化された JumpStart インストールでは、新規キーワード service_profile を sysidcfg ファイル内で使用することで、このセキュリティー制限を設定できます。このキーワードの詳細は、『Oracle Solaris 10 9/10 インストールガイド (ネットワークインストール)』の「service_profile キーワード」を参照してください。
制限されたセキュリティーの仕様
ネットワークのセキュリティーを制限する場合、多数のサービスが完全に無効になります。その他のサービスは引き続き有効ですが、ローカル接続のみに制限されます。Secure Shell は、完全に有効なままです。
例として、Solaris 10 11/06 リリースでローカル接続に制限されている ネットワークサービスの一覧を、次の表に示します。
表 4–6 Solaris 10 11/06 SMF で制限されているサービス|
サービス |
FMRI |
プロパティー |
|---|---|---|
|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
|
syslogd |
svc:/system/system-log |
config/log_from_remote |
|
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
|
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
|
WBEM |
svc:/application/management/wbem |
options/tcp_listen |
|
X サーバー |
svc:/application/x11/x11-server |
options/tcp_listen |
|
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
|
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
|
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
|
BSD 印刷 |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
インストール後のセキュリティー設定の修正
制限されたネットワークセキュリティー機能を使用する場合、影響を受けるすべてのサービスが Service Management Framework (SMF) により制御されます。初期インストールの実行後に、svcadm および svccfg コマンドを使って任意のネットワークサービスを個別に有効にできます。
制限されたネットワークアクセスは、/var/svc/profile 内にある SMF アップグレードファイルから netservices コマンドを呼び出すことで実現されます。netservices コマンドを使用して、サービスの起動動作を切り替えることができます。
ネットワークサービスを手動で無効にする場合は、次のコマンドを実行します。
# netservices limited |
このコマンドは、デフォルトでは変更が行われないアップグレードされたシステム上で使用できます。このコマンドは、サービスを個別に有効にした後で制限された状態に戻す場合にも使用できます。
同様に、次のコマンドを実行することで、以前の Solaris リリースと同様にデフォルトのサービスを有効にできます。
# netservices open |
セキュリティー設定の修正の詳細は、『Solaris のシステム管理 (基本編)』の「SMF プロファイルを作成する方法」を参照してください。また、次のマニュアルページも参照してください。
-
netservices(1M)
-
svcadm(1M)
-
svccfg(1M)
- © 2010, Oracle Corporation and/or its affiliates