Documentation Home
> Solaris のシステム管理 (セキュリティサービス)
Solaris のシステム管理 (セキュリティサービス)
Book Information
索引
数字・記号
A
B
C
D
E
F
G
H
I
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
あ
い
う
え
お
か
き
く
け
こ
さ
し
す
せ
そ
た
ち
つ
て
と
な
に
ね
は
ひ
ふ
へ
ほ
ま
み
む
め
も
や
ゆ
よ
り
れ
ろ
わ
はじめに
パート I セキュリティの概要
第 1 章 セキュリティサービス (概要)
セキュリティサービスの概要
マシンセキュリティ
認証サービス
セキュリティ保護された通信
監査とデバイス管理
パート II システムセキュリティの管理
第 2 章 マシンセキュリティの管理 (概要)
コンピュータシステムへのアクセスを制御する
物理的なセキュリティの管理
ログイン制御の管理
パスワード情報の管理
ローカルパスワード
NIS パスワードおよび NIS+ パスワード
LDAP パスワード
パスワードの暗号化
policy.conf ファイルのアルゴリズム構成
特別なシステムログイン
リモートログイン
ダイヤルアップログイン
マシンリソースへのアクセス制御
スーパーユーザーの制限と監視
役割によるアクセス制御を構成して root を置き換える
マシンリソースの意図しない使用の防止
パス変数の設定
制限付きシェルの割り当て
ファイル内のデータへのアクセス制限
setuid 実行可能ファイルの制限
自動セキュリティ拡張ツール (ASET) の使用
リソースマネージャの使用
マシンリソースの使用状況の監視
ファイルアクセスの制御
ファイルシステムセキュリティのコマンド
ファイルの暗号化
アクセス制御リスト (ACL)
マシン間でのファイルの共有
共有ファイルへの root アクセスの制限
ネットワークアクセスの制御
ネットワークセキュリティ機構
リモートアクセスの認証と承認
Solaris システム間での特権付きポートの使用
ファイアウォールシステム
パケットスマッシング
セキュリティ問題の報告
第 3 章 マシンのセキュリティの適用 (手順)
マシンのセキュリティの適用 (作業マップ)
ログインとパスワードのセキュリティ
ユーザーのログイン状態を表示する方法
例 — ユーザーのログイン状態を表示する
パスワードを持たないユーザーを表示する方法
例 — パスワードを持たないユーザーを表示する
ユーザーのログインを一時的に無効にする方法
例 — ユーザーのログインを無効にする
ログイン失敗操作を保存する方法
ダイヤルアップパスワードを作成する方法
ダイヤルアップログインを一時的に無効にする方法
パスワード暗号化のデフォルトアルゴリズムを変更する
パスワード暗号化のアルゴリズムを指定する方法
例 — パスワードの暗号化に Blowfish アルゴリズムを使用する
NIS+ ドメイン用の新しいパスワードアルゴリズムを指定する方法
NIS ドメイン用の新しいパスワードアルゴリズムを指定する方法
LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法
サードパーティのパスワード暗号化モジュールをインストールする方法
スーパーユーザーの監視と制限
su コマンドを使用するユーザーを監視する方法
コンソールへのスーパーユーザー (root) アクセス操作を表示する方法
スーパーユーザー (root) でのリモートログインを防ぐ方法
ハードウェアのセキュリティの適用
ハードウェアアクセスのパスワードを必須にする方法
システムのアボートシーケンスを無効または有効にする方法
第 4 章 ファイルのセキュリティの適用 (手順)
ファイルのセキュリティに関する機能
ユーザークラス
ファイルのアクセス権
ディレクトリのアクセス権
特殊なファイルアクセス権 (setuid、setgid、スティッキビット)
setuid アクセス権
setgid アクセス権
スティッキビット
デフォルトの umask 設定
ファイル情報の表示
ファイル情報を表示する方法
例 — ファイル情報を表示する
ファイルの所有権の変更
ファイルの所有者を変更する方法
例 — ファイルの所有者を変更する
ファイルのグループ所有権を変更する方法
例 — ファイルのグループ所有権を変更する
ファイルのアクセス権の変更
アクセス権を絶対モードで変更する方法
例 — アクセス権を絶対モードで変更する
特殊なアクセス権を絶対モードで変更する方法
例 — 特殊なアクセス権を絶対モードで設定する
アクセス権を記号モードで変更する方法
例 — アクセス権を記号モードで変更する
特殊なアクセス権の検索
setuid アクセス権が設定されているファイルを検索する方法
例 — setuid アクセス権が設定されているファイルを検索する
実行可能スタックとセキュリティ
プログラムが実行可能スタックを使用できないようにする方法
実行可能スタックのメッセージ記録を無効にする方法
アクセス制御リスト (ACL) の使用
ファイルの ACL エントリ
ディレクトリの ACL エントリ
ファイルの ACL を設定する方法
例 — ファイルの ACL を設定する
ACL をコピーする方法
例 — ACL をコピーする
ファイルに ACL が設定されているかどうかを検査する方法
例 — ファイルに ACL が設定されているかどうかを検査する
ファイルの ACL エントリを変更する方法
例 — ファイルの ACL エントリを変更する
ファイルから ACL エントリを削除する方法
例 — ファイルから ACL エントリを削除する
ファイルの ACL エントリを表示する方法
例 — ファイルの ACL エントリを表示する
第 5 章 役割によるアクセス制御 (概要)
RBAC: スーパーユーザーモデルの置き換え
Solaris RBAC の要素
特権付きアプリケーション
UID と GID を確認するアプリケーション
承認を確認するアプリケーション
プロファイルシェル
RBAC の役割
RBAC の承認
RBAC の権利プロファイル
ネームサービスの適用範囲
第 6 章 役割によるアクセス制御 (手順)
RBAC の構成 (作業マップ)
RBAC の計画
ユーザーツールコレクションを初めて使用する
初期ユーザーの設定
初期役割の設定
root を役割にする
root を役割にする方法
RBAC 情報の管理 (作業マップ)
特権付きアプリケーションの使用
役割の作成
役割プロパティの変更
権利プロファイルの作成または変更
ユーザーの RBAC プロパティの変更
レガシーアプリケーションのセキュリティ保護
レガシーアプリケーションにセキュリティ属性を追加する方法
スクリプト内のコマンドにセキュリティ属性を追加する方法
スクリプトまたはプログラム内の承認を確認する方法
第 7 章 役割によるアクセス制御 (参照)
RBAC 要素: 参照情報
推奨される役割の構成
権利プロファイルの内容
All 権利プロファイル
Primary Administrator 権利プロファイル
System Administrator 権利プロファイル
Operator 権利プロファイル
ユーザー用の Basic Solaris User 権利プロファイル
Printer Management 権利プロファイル
承認
承認の命名規則
承認レベルの違いの例
承認の委託
RBAC をサポートするデータベース
RBAC データベースの関係
user_attr データベース
auth_attr データベース
prof_attr データベース
exec_attr データベース
policy.conf ファイル
RBAC コマンド
RBAC を管理するコマンド行アプリケーション
承認を必要とするコマンド
第 8 章 自動セキュリティ拡張ツールの使用 (手順)
自動セキュリティ拡張ツール (ASET)
ASET のセキュリティレベル
ASET のタスク
システムファイルのアクセス権の調整
システムファイルの確認
ユーザーとグループの確認
システム構成ファイルの確認
環境変数の確認
eeprom の確認
ファイアウォールの設定
ASET 実行ログ
ASET 実行ログファイルの例
ASET レポート
ASET レポートファイルの形式
ASET レポートファイルの検査
ASET レポートファイルの比較
ASET マスターファイル
調整ファイル
uid_aliases ファイル
確認リストファイル
ASET 環境ファイル (asetenv)
ASET の構成
環境ファイルの変更 (asetenv)
実行するタスクの選択: TASKS
システムファイル確認タスクのディレクトリの指定: CKLISTPATH
ASET の実行スケジュールの指定: PERIODIC_SCHEDULE
別名ファイルの指定: UID_ALIASES
確認範囲を NIS+ テーブルまで拡張する: YPCHECK
調整ファイルの変更
ASET で変更されたシステムファイルの復元
NFS システムを使用するネットワーク操作
各セキュリティレベルの一括構成の提供
ASET レポートの収集
ASET 環境変数
ASETDIR 環境変数
ASETSECLEVEL 環境変数
PERIODIC_SCHEDULE 環境変数
TASKS 環境変数
UID_ALIASES 環境変数
YPCHECK 環境変数
CKLISTPATH_level 環境変数
ASET ファイルの例
調整ファイル
別名ファイル
ASET の実行
ASET を対話的に実行する方法
例 — ASET を対話的に実行する
ASET を定期的に実行する方法
ASET の定期的な実行を停止する方法
サーバー上で ASET レポートを収集する方法
ASET の問題の障害追跡
ASET のエラーメッセージ
パート III 認証サービスと安全な通信
第 9 章 認証サービスの使用 (手順)
Secure RPC の概要
NFS サービスと Secure RPC
DES 暗号化
Kerberos 認証
Diffie-Hellman 認証
Diffie-Hellman 認証の実装
公開鍵と秘密鍵の生成
keylogin コマンドの実行
対話鍵の生成
サーバーとの最初の接触
対話鍵の復号化
サーバーへの格納情報
ベリファイアをクライントに返す
クライアントによるサーバーの認証
追加のトランザクション
Diffie-Hellman 認証の管理
キーサーバーを再起動する方法
Diffie-Hellman 認証のために NIS+ の資格に root 鍵を設定する方法
例 — NIS+ クライアント上で root の新しい鍵を設定する
Diffie-Hellman 認証のために NIS+ の資格を使用する新しいユーザー鍵を設定する方法
例 — NIS+ ユーザー用の新しい鍵を設定する
Diffie-Hellman 認証と NIS の資格を使用して root 鍵を設定する方法
例 — NIS クライアント上で root の新しい鍵を設定する
Diffie-Hellman 認証と NIS の資格を使用する新しいユーザー鍵を設定する方法
Diffie-Hellman 認証でファイルを共有およびマウントする方法
第 10 章 PAM の使用
PAM (概要)
PAM を使用する利点
PAM の構成要素
PAM ライブラリ
パスワードマッピング機能
Solaris 9 リリースにおける PAM への変更
Solaris 9 Update 2 リリースにおける PAM への変更
PAM (手順)
PAM (作業マップ)
PAM の計画
PAM モジュールを追加する方法
検証
PAM を使用して、リモートシステムからの非承認アクセスを防ぐ方法
PAM のエラーレポートを開始する方法
例 — PAM のエラーレポートを開始する
PAM (参照)
PAM モジュール
PAM モジュールのタイプ
PAM 構成ファイル
PAM 構成ファイルの構文
PAM で有効なサービス名
PAM 制御フラグ
一般的な pam.conf ファイル
第 11 章 Solaris Secure Shell の使用 (手順)
Solaris Secure Shell の概要
Solaris Secure Shell の使用 (作業マップ)
Solaris Secure Shell の使用
公開鍵と非公開鍵のペアを作成する方法
Solaris Secure Shell を使用して別のホストにログインする方法
パスワードを使用せずに ssh-agent コマンドを使用してログインする方法
例 — ssh-add オプションを使用する
ssh-agent コマンドが自動的に動作するように設定する方法
Solaris Secure Shell のポート転送を使用する方法
例 — ローカルポート転送を使用してメールを受信する
例 — リモートポート転送を使用してファイアウォールの外部と通信する
Solaris Secure Shell を使用してファイルをコピーする方法
sftp コマンドを使用したファイルのリモート転送
ファイアウォール外部のホストにデフォルト接続を設定する方法
例 — コマンド行からファイアウォール外部のホストに接続する
第 12 章 Solaris Secure Shell の管理 (参照)
標準的な Solaris Secure Shell セッション
セッションの特性
認証
コマンドの実行とデータの転送
Solaris Secure Shell を構成する
Solaris Secure Shell クライアントの構成
ホスト固有のパラメータ
クライアント側の認証パラメータ
既知のホストファイルパラメータ
クライアント側の X11 転送とポート転送パラメータ
クライアント側の接続とその他のパラメータ
Solaris Secure Shell サーバーの構成
サーバー側の認証パラメータ
ポートと転送パラメータ
セッション制御パラメータ
サーバー接続とその他のパラメータ
サイト全体で既知のホストを管理する
Solaris Secure Shell ファイル
第 13 章 SEAM について
SEAM とは
SEAM の動作
初期認証: チケット認可チケット (TGT)
後続の認証
SEAM リモートアプリケーション
主体
レルム
レルムとサーバー
SEAM セキュリティサービス
SEAM のリリース
SEAM 1.0 の構成要素
Solaris 8 の SEAM 構成要素
SEAM 1.0.1 の構成要素
Solaris 9 の SEAM 構成要素
SEAM 1.0.2 の構成要素
第 14 章 SEAM の計画
SEAM を計画する理由
レルム
レルム名
レルムの数
レルムの階層
ホスト名のレルムへの割り当て
クライアントとサービス主体の名前
KDC と管理サービス用のポート
スレーブ KDC
データベースの伝播
クロックの同期
オンラインヘルプ URL
第 15 章 SEAM の構成 (手順)
SEAM の構成 (作業マップ)
KDC サーバーの構成
マスター KDC を構成する方法
スレーブ KDC を構成する方法
レルム間認証の構成
階層関係のレルム間認証を設定する方法
直接接続のレルム間認証を確立する方法
SEAM NFS サーバーの構成
SEAM NFS サーバーを構成する方法
資格テーブルを作成する方法
資格テーブルに 1 つのエントリを追加する方法
例 — 資格テーブルに 1 つのエントリを追加する
複数の Kerberos セキュリティモードで安全な NFS 環境を設定する方法
例 — 1 つの Kerberos セキュリティモードでファイルシステムを共有する
例 — 複数の Kerberos セキュリティモードでファイルシステムを共有する
SEAM クライアントの構成
SEAM クライアントを構成する方法
例 - SEAM 以外の KDC を使用するように SEAM クライアントを設定する
NFS ファイルシステムをマウントするように root 認証を設定する
KDC と SEAM クライアントのクロックの同期化
マスター KDC とスレーブ KDC のスワップ
スワップ可能なスレーブ KDC を構成する方法
マスター KDC とスレーブ KDC をスワップする方法
Kerberos データベースの管理
Kerberos データベースのバックアップと伝播
kpropd.acl ファイル
kprop_script コマンド
Kerberos データベースをバックアップする方法
例 — Kerberos データベースのバックアップ
Kerberos データベースを復元する方法
例 — Kerberos データベースの復元
Kerberos データベースをスレーブ KDC に手動で伝播する方法
並列伝播の設定
並列伝播を設定する方法
例 — 並列伝播の設定
stash ファイルの管理
stash ファイルを削除する方法
セキュリティの強化
KDC サーバーへのアクセスを制限する方法
第 16 章 SEAM エラーメッセージと障害追跡
SEAM のエラーメッセージ
SEAM 管理ツールのエラーメッセージ
SEAM 共通エラーメッセージ (A - M)
SEAM 共通エラーメッセージ (N - Z)
SEAM の障害追跡
Kerberos NFS ファイルシステムのマウントの問題
root の認証の問題
第 17 章 主体とポリシーの管理 (手順)
主体とポリシーの管理方法
SEAM 管理ツール
SEAM ツールに対応するコマンド行
SEAM ツールによって変更されるファイル
SEAM ツールの印刷機能とオンラインヘルプ機能
SEAM ツールで大規模な一覧を使用する
SEAM ツールを起動する方法
主体の管理
主体の管理 (作業マップ)
新しい主体の自動作成
主体の一覧を表示する方法
例 — 主体の一覧の表示 (コマンド行)
主体の属性を表示する方法
例 — 主体の属性の表示
例 — 主体の属性の表示 (コマンド行)
新しい主体を作成する方法
例 — 新しい主体の作成
例 — 新しい主体の作成 (コマンド行)
主体を複製する方法
主体を変更する方法
例 — 主体のパスワードの変更 (コマンド行)
主体を削除する方法
例 — 主体を削除する (コマンド行)
新しい主体を作成するときのデフォルトを設定する方法
Kerberos 管理権限を変更する方法
例 — Kerberos 管理権限の変更
ポリシーの管理
ポリシーの管理 (作業マップ)
ポリシーの一覧を表示する方法
例 — ポリシーの一覧の表示 (コマンド行)
ポリシーの属性を表示する方法
例 — ポリシーの属性の表示
例 — ポリシーの属性の表示 (コマンド行)
新しいポリシーを作成する方法
例 — 新しいポリシーの作成
例 — 新しいポリシーの作成 (コマンド行)
ポリシーを複製する方法
ポリシーを変更する方法
例 — ポリシーの変更 (コマンド行)
ポリシーを削除する方法
例 — ポリシーの削除 (コマンド行)
SEAM ツール参照
SEAM ツールパネルの説明
Kerberos 管理権限を制限して SEAM ツールを使用する
キータブファイルの管理
キータブファイルの管理 (作業マップ)
サービス主体をキータブファイルに追加する方法
例 — サービス主体をキータブファイルに追加する
キータブファイルからサービス主体を削除する方法
例 — キータブファイルからサービス主体を削除する
キータブファイル内のキー一覧 (主体) を表示する方法
例 — キータブファイル内のキー一覧 (主体) を表示する
ホスト上のサービスの認証を一時的に無効にする方法
例 — ホスト上のサービスを一時的に無効にする
第 18 章 SEAM の使用 (手順)
チケットの管理
チケットを意識する必要があるか
チケットを作成する方法
例 — チケットを作成する
チケットを表示する方法
例 — チケットを表示する
チケットを破棄する方法
パスワード管理
パスワード選択のヒント
パスワードの変更方法
例 — パスワードを変更する
第 19 章 SEAM (参照)
SEAM ファイル
PAM 構成ファイル
SEAM コマンド
SEAM デーモン
SEAM の用語
Kerberos 固有の用語
認証固有の用語
チケットの種類
チケットの有効期限
主体名
認証システムの動作方法
SEAM によるサービスへのアクセス
チケット許可サービスに対する資格の取得
サーバーに対する資格の取得
特定のサービスへのアクセス権の取得
gsscred テーブルの使用
パート IV 監査とデバイス管理
第 20 章 BSM (概要)
監査とは
監査の機能
監査とセキュリティとの関連
BSM の用語
監査イベント
カーネルレベルの監査イベント
ユーザーレベルの監査イベント
ユーザーに起因しない監査イベント
監査クラス
監査フラグ
監査レコードと監査トークン
監査ディレクトリ
デバイス割り当て
第 21 章 監査の計画
監査トレールの処理
監査担当者と監査対象の決定
使用する監査ポリシーの決定
監査コストの制御
監査データの処理時間の増大に伴うコスト
監査データの分析に伴うコスト
監査データの格納に伴うコスト
効率的な監査
第 22 章 BSM サービスの管理 (手順)
BSM サービスの管理 (作業マップ)
監査ファイルの構成 (作業マップ)
監査フラグの選択方法
例 — 監査トレールファイルの位置を変更する
例 — すべてのユーザーに適用される監査フラグを変更する
例 — 警告に対するソフト制限値を変更する
例 — ユーザーに起因しないイベントの監査を変更する
ユーザーの監査特性の変更方法
例 — 1 人のユーザーの監査を変更する
例 — 監査管理ログインを作成する
監査クラスの追加方法
例 — 新しい監査クラスを設定する
監査イベントの所属先クラスの変更方法
例 — サイト固有の監査イベントの割り当てを作成する
監査イベントの追加方法
例 — 新しい監査イベントを追加する
監査サービスの構成 (作業マップ)
監査パーティションの作成方法
例 — 予備の監査ディレクトリを作成する
例 — 新しい監査パーティションを作成する
audit_warn 別名の構成方法
監査ポリシーを有効または無効にする方法
例 — cnt ポリシーを設定する
監査を有効にする方法
監査を無効にする方法
監査レコードの管理 (作業マップ)
監査レコードの書式の表示方法
例 — プログラムの監査レコード書式を表示する
例 — 監査クラスの監査レコード書式を表示する
監査レコードのマージ方法
例 — 監査トレール全体を表示する
例 — 監査トレール全体を印刷する
例 — 監査ファイルの結合と削減
例 — 選択した日付のユーザーの動作を表示する
例 — 選択レコードを 1 つのファイルにコピーする
例 — not_terminated 監査ファイルを整理する
監査レコードの表示方法
例 — 監査レコードを XML 形式に変換する
監査トレールのオーバーフローを防ぐ方法
デバイス割り当ての管理 (作業)
割り当て可能デバイスの追加 (作業マップ)
割り当て可能デバイスのロックファイルの設定方法
割り当て可能デバイスの変更方法
デバイスを割り当てる方法
例 — プリンタを割り当てる
デバイスの割り当てを解除する方法
例 — プリンタの割り当てを解除する
例 — 強制的に割り当てを解除する
例 — すべてのデバイスの割り当てを解除する
第 23 章 BSM サービス (参照)
監査コマンド
監査デーモン
audit コマンド
bsmrecord コマンド
auditreduce コマンド
praudit コマンド
例 — praudit 出力をスクリプトで処理する
auditconfig コマンド
監査サービスファイル
/etc/system ファイル
audit_class ファイル
audit_controlファイル
audit_control ファイルの例
audit_data ファイル
audit_event ファイル
audit_startup スクリプト
audit_user ファイル
audit_warn スクリプト
監査管理プロファイル
監査クラスと監査フラグ
監査フラグの定義
監査フラグの構文
監査フラグを変更する接頭辞
監査ポリシー
プロセスの監査特性
監査トレール
監査ファイルの命名規則
監査ファイルの命名
監査ファイル名の使用方法
タイムスタンプの書式と説明
動作中のファイル名の例
閉じられた監査ファイル名の例
監査レコードの構造
監査トークンの形式
acl トークン
arbitrary トークン
arg トークン
attr トークン
exec_args トークン
exec_env トークン
exit トークン
file トークン
group トークン (現在は使用しない)
header トークン
in_addr トークン
ip トークン (現在は使用しない)
ipc トークン
ipc_perm トークン
iport トークン
newgroups トークン
opaque トークン
path トークン
process トークン
return トークン
seq トークン
socket トークン
subject トークン
text トークン
trailer トークン
デバイス割り当て参照
デバイス割り当てメカニズムの構成要素
デバイス割り当てコマンドの使用方法
割り当てエラー状態
device_maps ファイル
device_allocate ファイル
デバイスクリーンスクリプト
オブジェクトの再使用
テープ用のデバイスクリーンスクリプト
フロッピーディスクと CD-ROM 用のデバイスクリーンスクリプト
オーディオ用のデバイスクリーンスクリプト
新しいデバイスクリーンスクリプトの作成
デバイス割り当てメカニズムの機能
付録 A 『Solaris のシステム管理 (セキュリティサービス)』の更新情報
Solaris 9 12/02 の更新情報
Solaris 9 8/03 の更新情報
用語集
© 2010, Oracle Corporation and/or its affiliates