Oracle Solaris 10 9/10 インストールガイド (インストールとアップグレードの計画)

ネットワークセキュリティーの計画

Solaris 10 11/06 以降のリリースでは、初期インストール時にネットワークセキュリティー設定を変更することができ、Secure Shell を除くすべてのネットワークサービスを無効にしたり、応答する要求をローカル要求だけに制限したりすることができます。このオプションを使用すると、リモートの攻撃者から攻撃や侵入を受ける可能性を最小限に抑えることができます。また、このオプションを利用することで、必要なサービスだけを有効にできます。このセキュリティーオプションを使用できるのは初期インストールのときだけで、アップグレード時には使用できません。アップグレードでは、以前に設定されたすべてのサービスの設定内容が保持されます。ただし netservices コマンドを使用すれば、必要に応じてアップグレード後にネットワークサービスを制限することができます。

使用しているインストールプログラムに応じて、ネットワークサービスを制限するか、サービスをデフォルトで有効にするかを選択できます。

制限されたセキュリティーの仕様

ネットワークのセキュリティーを制限する場合、多数のサービスが完全に無効になります。その他のサービスは引き続き有効ですが、ローカル接続のみに制限されます。Secure Shell は、完全に有効なままです。

例として、Solaris 10 11/06 リリースでローカル接続に制限されている ネットワークサービスの一覧を、次の表に示します。

表 4–6 Solaris 10 11/06 SMF で制限されているサービス

サービス 

FMRI 

プロパティー 

rpcbind 

svc:/network/rpc/bind

config/local_only

syslogd 

svc:/system/system-log

config/log_from_remote

sendmail 

svc:/network/smtp:sendmail

config/local_only

smcwebserver 

svc:/system/webconsole:console

options/tcp_listen

WBEM 

svc:/application/management/wbem

options/tcp_listen

X サーバー 

svc:/application/x11/x11-server

options/tcp_listen

dtlogin 

svc:/application/graphical-login/cde-login

dtlogin/args

ToolTalk 

svc:/network/rpccde-ttdbserver:tcp

proto=ticotsord

dtcm 

svc:/network/rpccde-calendar-manager

proto=ticits

BSD 印刷 

svc:/application/print/rfc1179:default

bind_addr=localhost

インストール後のセキュリティー設定の修正

制限されたネットワークセキュリティー機能を使用する場合、影響を受けるすべてのサービスが Service Management Framework (SMF) により制御されます。初期インストールの実行後に、svcadm および svccfg コマンドを使って任意のネットワークサービスを個別に有効にできます。

制限されたネットワークアクセスは、/var/svc/profile 内にある SMF アップグレードファイルから netservices コマンドを呼び出すことで実現されます。netservices コマンドを使用して、サービスの起動動作を切り替えることができます。

ネットワークサービスを手動で無効にする場合は、次のコマンドを実行します。


# netservices limited

このコマンドは、デフォルトでは変更が行われないアップグレードされたシステム上で使用できます。このコマンドは、サービスを個別に有効にした後で制限された状態に戻す場合にも使用できます。

同様に、次のコマンドを実行することで、以前の Solaris リリースと同様にデフォルトのサービスを有効にできます。


# netservices open

セキュリティー設定の修正の詳細は、『Solaris のシステム管理 (基本編)』「SMF プロファイルを作成する方法」を参照してください。また、次のマニュアルページも参照してください。