ネットワークのセキュリティ

Solaris オペレーティング環境は、ファイルへのアクセス、システムデータベースの保護、およびシステム資源の利用に関するユーザーの動作を制御するための洗練されたセキュリティシステムを備えています。Solaris のセキュリティは、ネットワーク全体を対象に 1 つのシステムだけでなく複数の異なるシステムを制御します。また、Solaris セキュリティシステムは異なるセキュリティモデルを格納できるように設計されているので、ユーザーは現行のシステムや将来のシステムに合わせて最適なモデルを選択できます。今回のリリースでは、アクセス制御、暗号化処理、および認証の各分野で Solaris セキュリティシステムに新しい機能が追加されています。

NFS Kerberos

Kerberos 認証は、DES 暗号化技術を使ってネットワークのセキュリティを強化します。NFS と RPC の各ネットワークサービスのカーネルへの実装が変更されて、Generalized Security Services API (GSS-API) に基づく新しい RPC 認証方式をサポートするようになりました。このサポートには、NFS 環境のセキュリティ強化機能を追加するためのフックが含まれます。

share コマンドと mount コマンドが変更されて、Kerberos に NFS のサポートを提供します。また、share コマンドは、クライアントによって異なる認証方式を適用できるようになりました。

詳細については、『NFS の管理』を参照してください。

RPCSEC_GSS

ユーザーレベルの RPC を実装することによって、新しい認証方式をサポートします。これは GSS-API に基づく認証方式で、RPC ベースのサービスにセキュリティ強化機能、機密性、および完全性を追加するためのフックを提供します。

Pluggable Authentication Modules (PAM) フレームワーク

PAM フレームワークによって、login、ftp、telnet などのコマンドを変更しなくても新しい認証技術がプラグイン式に導入できるようになります。また、PAM を使って UNIX ログインを DCE や Kerberos などのセキュリティ機構に統合することができます。

アカウント、セッション、およびパスワードを管理するための機構も、このフレームワークを使ってプラグインできます。

PAM の利点は次のとおりです。

• 自由度の高い構成方針

• 一般ユーザーに親しみやすい操作性

• ユーザー認証サービスにパラメタを渡すことが可能

詳細については、『Solaris のシステム管理』を参照してください。

Bind 4.9.4-P1

Solaris オペレーティング環境は、ドメインネームシステム (DNS) として Berkeley Internet Name Daemon (BIND) Version 4.9.4 パッチレベル 1 をサポートします。BIND は、最も普及している DNS の実装方式です。ホスト IP アドレスやメール情報などの参照情報を格納し、インターネットの名前解決サービスを提供する BIND は、インターネットでの接続に非常に重要な役割を果たします。BIND には、必ず複数のプログラムとリゾルバ (名前解決) ライブラリが含まれています。メインのプログラムは、DNS 情報を提供する named デーモンです。telnet などのアプリケーションは、リゾルバライブラリを経由して named デーモンと通信します。

BIND 4.9.4-P1 は、インターネットでの新しいセキュリティ機能を提供します。以前の BIND では DNS の改ざんを防げなかったので、侵入者は DNS が間違った名前データを提供するように仕組むことができました。したがって、この名前を使うサービスは、権限のないユーザーにアクセスを許可してしまう可能性がありました。なかには、名前データをチェックしないサービスもあります。Version 4.9.4 ではセキュリティ上の弱点が数多く解消されています。

詳細については、『Solaris ネーミングの管理』を参照してください。