Solaris のシステム管理 (基本編)

署名付きパッチを管理するための準備 (作業マップ)

システムに署名付きパッチを追加する場合は、次のマップに示す作業をすべて完了しておく必要があります。

作業	説明	参照先
1. Solaris パッケージの要件を確認する	パッチツールをサポートするために必要な Solaris パッケージがシステムにインストールされていることを確認する	署名付きパッチツールのパッケージ要件を確認する方法
2. Solaris パッチ管理ツールをダウンロードし、インストールする	使用している Solaris リリースに対応した Solaris パッチ管理ツールを選択する	Solaris パッチ管理ツールのダウンロードおよびインストール方法
3. キーストアに Sun の証明書をインポートする	パッチの署名の検証に使用する Sun の証明書をインポートし、受け入れる `SUNWcert` パッケージは、署名付きパッチツールのインストール時に自動的にインストールされる。すでに署名付きパッチツールがインストールされている場合は、`SUNWcert` パッケージを個別にインストールしてはならない	キーストアに Sun の証明書をインポートする方法
4. (省略可能) キーストアのパスワードを変更する	キーストアの安全性を確保するため、パスワードを変更する	キーストアのパスワードの変更方法
5. パッチ環境を設定する	署名付きパッチを追加できるようにシステムを設定する	パッチ環境の設定方法

Solaris パッチ管理ツールの使用

Solaris パッチ管理ツールの使用時には、次の点に注意してください。

適切なパッチ (カーネルアップデートパッチ、Java パッチ、推奨パッチクラスタなど) により、システムが最新の状態になっていることを確認します。
Solaris パッチ管理ツールのインストール後、パッチの署名の検証に使用する Sun の証明書を手動でインポートする必要があります。
Solaris 2.6、7、または 8 のみ – システムにインストールされている以前のバージョンの PatchPro ソフトウェアは、Solaris Patch Manager Base バージョン 1.0 のインストール時にアップグレードされます。
パッチを quiet システム (ログインしているユーザーが存在しないシステム) にインストールする場合は、シングルユーザーモードを選択することをお勧めします。
署名付きパッチは、smpatch download コマンドでダウンロードされるときに検証されます。

しかし、Solaris 9 システムでは、パッチのダウンロード時に署名検証メッセージが表示されません。これは、パッチが正常に検証された場合も同様です。署名の検証に失敗した場合、パッチはシステムにダウンロードされません。

Solaris 9 のみ – smpatch コマンド行に認証情報を指定しなかった場合、認証情報の入力を求めるプロンプトが表示されます。

たとえば、smpatch コマンドに次のような構文で認証情報を指定します。

# smpatch add -p mypassword -u root -- -i patch-ID

smpatch のサブコマンド ( add、analyze、download、または remove) を指定する場合は、サブコマンドの引数と認証オプションおよび引数を -- で区切ります。

smpatch コマンドに認証情報を要求するプロンプトを表示させることもできます。たとえば、次のようになります。

# /usr/sadm/bin/smpatch add -i patch-ID
Authenticating as user: root

ヘルプを参照するには /? を入力してください。Enter キーを押すと、
[ ] で囲まれたデフォルトが選択されます。
文字列の値を入力してください: password :: 
ツール com.sun.admin.patchmgr.cli.PatchMgrCli を starbag から読み込み中
ユーザー root として starbag にログインしました。
starbag から com.sun.admin.patchmgr.cli.PatchMgrCli
がダウンロードされました。

PatchPro 2.1 をアンインストールする必要がある場合は、/opt/SUNWppro/bin/uninstallpatchpro スクリプトを使用します。現在のディレクトリが /opt/SUNWppro/bin である場合は、このスクリプトで PatchPro2.1 を削除してはなりません。パッチ環境の設定方法の説明に従ってパスを設定し、適切なディレクトリ、たとえばルートディレクトリ (/) から uninstallpatchpro スクリプトを実行します。

署名付きパッチツールのパッケージ要件を確認する方法

システムに署名付きパッチツールをインストールする前に、必要な Solaris パッケージがインストールされていることを確認します。Solaris 2.6、7、または 8 を実行している場合は、最小のシステム構成にいくつかのパッケージを追加する必要があります。Solaris 9 を実行している場合は、署名付きパッチツールを使用するためには開発者クラスタ (SUNWCprog) をインストールする必要があります。

実行している Solaris リリースを確認し、次のいずれかの作業を行います。

Solaris 2.6 を実行している場合は、次のようにして、システムに必要なパッケージがインストールされているかどうかを確認します。

# pkginfo | grep SUNWmfrun
system      SUNWmfrun      Motif RunTime Kit
# pkginfo | grep SUNWlibC
system      SUNWlibC       Sun Workshop Compilers Bundled libC
# pkginfo | grep SUNWxcu4
system      SUNWxcu4       XCU4 Utilities

Solaris 7 または 8 を実行している場合は、次のようにして、システムに必要なパッケージがインストールされているかどうかを確認します。
# pkginfo | grep SUNWmfrm system SUNWmfrun Motif RunTime Kit # pkginfo | grep SUNWlibC system SUNWlibC Sun Workshop Compilers Bundled libC

Solaris 9 を実行している場合は、次のようにして、システムに必要な開発者クラスタがインストールされていることを確認します。
# cat /var/sadm/system/admin/CLUSTER CLUSTER=SUNWCprog

pkginfo コマンドを実行しても何も出力されない場合は、必要なパッケージをインストールしてください。

Solaris パッチ管理ツールのダウンロードおよびインストール方法

スーパーユーザーになります。

次のリンクをたどって、使用している Solaris リリースに適した tar ファイルをダウンロードします。

http://www.sun.com/PatchPro

次のいずれかの方法で、パッチツールパッケージを展開します。
1. Solaris 2.6 または 7 を実行している場合は、次のコマンドを使ってパッケージの圧縮を解除し、展開します。
  # uncompress SUNWpkg-name.tar.Z # tar xvf SUNWpkg-name.tar
2. Solaris 8 または 9 を実行している場合は、次のコマンドを使ってパッケージを展開します。
  # gunzip -dc SUNWpkg-name.tar.gz | tar xvf -

インストールスクリプトを実行します。
# cd unzipped-pkg-dir # ./setup
インストールスクリプトの実行時のエラーについては、署名付きパッチに関する問題の障害追跡を参照してください。

例 — Solaris パッチ管理ツールのダウンロードおよびインストール

次の例では、Solaris 2.6 パッチ管理ツールをダウンロードし、インストールします。

# uncompress pproSunOSsparc5.6jre2.1.tar.Z
# tar xvf pproSunOSsparc5.6jre2.1.tar 
.
.
.
# cd pproSunOSsparc5.6jre2.1
# ./setup
.
.
.

次の例では、Solaris 9 パッチ管理ツールをダウンロードし、インストールします。

# gunzip -dc pproSunOSsparc5.9jre2.1.tar.gz | tar xvf -
.
.
# cd pproSunOSsparc5.9jre2.1
# ./setup
.
.
.

キーストアに Sun の証明書をインポートする方法

keytool コマンドを使って、システムに追加する署名付きパッチの検証に使用する Sun の証明書をインポートし、検証します。証明書を以前のインストールからインポートした場合も、この作業を実行する必要があります。

注 –

SUNWcert パッケージは、署名付きパッチツールのインストール時に自動的にインストールされます。すでに署名付きパッチツールがインストールされている場合は、SUNWcert パッケージを個別にインストールしないでください。

Solaris パッチ管理ツールをダウンロードするために必要な準備作業が完了していることを確認します。

スーパーユーザーになります。

Sun のルート証明書と Sun の Class B 証明書のフィンガープリントを確認します。

# /usr/j2se/bin/keytool -printcert -file /etc/certs/SUNW/
smirootcacert.b64
# /usr/j2se/bin/keytool -printcert -file /etc/certs/SUNW/smicacert.b64

次のサイトで、コマンドの出力結果と Sun のルート証明書および Class B 証明書のフィンガープリントが一致していることを確認します。
https://www.sun.com/pki/ca/

Sun の Class B 証明書をシステムにインポートし、受け入れます。

# /usr/j2se/bin/keytool -import -alias smicacert -file /etc/certs/ 
SUNW/smicacert.b64  -keystore /usr/j2se/jre/lib/security/cacerts
キーストアのパスワードを入力してください:  changeit
所有者: O=Sun Microsystems Inc, CN=Sun Microsystems Inc CA (Class B)
実行者: CN=Sun Microsystems Inc Root CA, O=Sun Microsystems Inc, C=US
シリアル番号: 1000006
有効日: Tue Nov 14 04:23:10 JST 2000 有効期限: Sat Nov 14 04:23:10 JST 2009
証明書のフィンガープリント:
         MD5:  B4:1F:E1:0D:80:7D:B1:AB:15:5C:78:CB:C8:8F:CE:37
         SHA1: 1E:38:11:02:F0:5D:A3:27:5C:F9:6E:B1:1F:C4:79:95:E9:6E:D6:DF
この証明書を信頼しますか? [no]:  yes
証明書がキーストアに追加されました。

Sun のルート証明書をシステムにインポートし、受け入れます。

# /usr/j2se/bin/keytool -import -alias smirootcacert -file /etc/certs/
SUNW/smirootcacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts
キーストアのパスワードを入力してください:  changeit
所有者: CN=Sun Microsystems Inc Root CA, O=Sun Microsystems Inc, C=US
実行者: CN=GTE CyberTrust Root, O=GTE Corporation, C=US
シリアル番号: 200014a
有効日: Wed Nov 08 07:39:00 JST 2000 有効期限: Fri Nov 08 08:59:00 JST 2002
証明書のフィンガープリント:
         MD5:  D8:B6:68:D4:6B:04:B9:5A:EB:34:23:54:B8:F3:97:8C
         SHA1: BD:D9:0B:DA:AE:91:5F:33:C4:3D:10:E3:77:F0:45:09:4A:E8:A2:98
この証明書を信頼しますか? [no]:  yes
証明書がキーストアに追加されました。

署名付きパッチ証明書をシステムにインポートし、受け入れます。

# /usr/j2se/bin/keytool -import -alias patchsigning -file /opt/SUNWppro/
etc/certs/patchsigningcert.b64 -keystore /usr/j2se/jre/lib/security/cacerts
キーストアのパスワードを入力してください:  changeit
所有者: CN=Enterprise Services Patch Management, O=Sun Microsystems Inc
実行者: O=Sun Microsystems Inc, CN=Sun Microsystems Inc CA (Class B)
シリアル番号: 1400007b
有効日: Tue Sep 25 05:38:53 JST 2001 有効期限: Mon Sep 25 05:38:53 JST 2006
証明書のフィンガープリント:
         MD5:  6F:63:51:C4:3D:92:C5:B9:A7:90:2F:FB:C0:68:66:16
         SHA1: D0:8D:7B:2D:06:AF:1F:37:5C:0D:1B:A0:B3:CB:A0:2E:90:D6:45:0C
この証明書を信頼しますか? [no]:  yes
証明書がキーストアに追加されました。

キーストアのパスワードの変更方法

スーパーユーザーになります。

キーストアのパスワードを変更します。

# /usr/j2se/bin/keytool -storepasswd -keystore /usr/j2se/jre/lib/
security/cacerts
キーストアのパスワードを入力してください:  changeit
新規 keystore password: new-password
新規 keystore password を再入力してください: new-password

パッチ環境の設定方法

スーパーユーザーになります。

パッチツールのディレクトリをパスに追加します。
# PATH=/usr/sadm/bin:/opt/SUNWppro/bin:$PATH # export PATH

(省略可能) システムのハードウェア構成を確認します。smpatch analyze コマンドは、このハードウェア構成に基づいて必要なパッチを特定します。
# pprosetup -H Change Hardware Configuration. Analyzing this computer. ..............
このコマンドで特定されるのは、Sun のネットワークストレージ製品だけです。

システムに追加するパッチの種類を特定します。
# pprosetup -i standard:singleuser:rebootafter:reconfigafter
システムのデフォルトパッチポリシーが確立されます。

(省略可能) システムに規約署名付きパッチを追加したい場合は、次の手順に従って SunSolve のユーザー名とパスワードを定義します。
1. SunSolve ユーザー名を定義します。
  # pprosetup -u username
2. SunSolve パスワードを定義します。次のファイルにパスワードを追加してください。
  /opt/SUNWppro/lib/.sunsolvepw

パッチツールがシステムにパッチをダウンロードできるように、プロキシサーバーを特定します。
1. システムがファイアウォールで保護されている場合は、patchpro.sun.com サーバーと、次のいずれかの Sun パッチサーバー (パッチのダウンロード用サーバー) にアクセスできるプロキシサーバーを定義する必要があります。
  - americas.patchmanager.sun.com (デフォルト)
  - emea.patchmanager.sun.com
  - japan.patchmanager.sun.com
2. 次のコマンドで、プロキシサーバーを特定します。
  # pprosetup -x proxy-server:proxy-port
  たとえば、webaccess.corp.net.com をプロキシサーバーに指定する場合、次のように pprosetup コマンドを入力します。
  # pprosetup -x webaccess.corp.net.com:8080

次に進む手順

署名付きパッチの準備作業がすべて完了したら、パッチ管理ツールを使って署名付きパッチを追加します。