第 3 章 設定のガイドライン

Solaris for ISPs は、Solaris 基本環境に一連の ISP 向けのプラットフォーム拡張機能と各種サービスを付加するものです。この章では、ネットワークホストに Solaris for ISPs のプラットフォーム拡張機能と各種サービスをインストールするときのホスト構成のガイドラインを示します。構成情報は Solaris for ISPs のインストールの成否を決定するものなので、この章は注意深くお読みください。

インストールシナリオ

Solaris for ISPs をインストールする前に、ネットワーク計画を作成する必要があります。この節では、テスト済みの Solaris for ISPs ネットワークホストの設定例を 2 つ示します。使用環境に近い設定例を参考にして、実際のネットワークホストを設定してください。

ネットワークの設定

この節では、基本設定と拡張設定の 2 つの例を示し、それぞれのハードウェア構成における要件と推奨設定を示します。

---

注 -

この設定例では、ネットワーク中にファイアウォールは存在しないものとします。インターネットのファイアウォール製品を使用して、Solaris for ISPs ホストとのネットワークトラフィックを制御する場合は、セキュリティ設定をチェックして、Solaris for ISPs ホストが必要とするタイプの通信が可能になっていることを確認してください。このマニュアルでは、ファイアウォール製品を使用する場合の設定方法については説明しません。

---

基本設定

基本設定の例を次の図に示します。

図 3-1 基本構成

基本設定のハードウェア要件

• 3 台のハイエンドワークステーション

• 一次および二次 DNS サーバー

• ホストは、インターネットに接続しているネットワーク上になければなりません。

• ネットワーク上の任意のサーバーをクライアントホストとして使用できます。

• Sun Internet Administrator と Sun Internet Services Monitor のクライアントソフトウェアを使用するには、クライアントホスト上に Web ブラウザが必要です。

基本設定のホスト構成

この例の 3 つのホストをホスト A、ホスト B、ホスト C とします。たとえば、各ホストサーバーを次のように構成します。

• ホスト A: このサーバーはサービスホストとして構成します。SWS と Sun Internet FTP Server をインストールし、このホストを一次 DNS サーバーとして構成します。

• ホスト B: このサーバーはコンソールホストとして構成します。Sun Internet Administrator、Sun Directory Services、および Sun Internet Services Monitor をインストールします。

• ホスト C: このサーバーはサービスホストとして構成します。Sun Internet News Server をインストールし、このホストを二次 DNS サーバーとして構成します。

  ---

  注 -

  ここで示した DNS サーバーとしての構成は、推奨設定の一例にすぎません。Solaris for ISPs の拡張機能と各種サービスは、DNS サーバーの役割を持たないホストにもインストールできます。ほとんどの拡張機能と各種サービスは、定期的なネームルックアップ機能を必要とするだけです。

  ---

拡張設定

拡張設定の例を図 3-2 に示します。

図 3-2 拡張構成

拡張設定のハードウェア要件

• 4 台のハイエンドワークステーション

• 一次および二次 DNS サーバー

• ホストは、インターネットに接続しているネットワーク上になければなりません。

• ネットワーク上の任意のサーバーをクライアントホストとして使用できます。

• Sun Internet Administrator と Sun Internet Services Monitor のクライアントソフトウェアを使用するには、クライアントホスト上に Web ブラウザが必要です。

拡張設定のホスト構成

この例の 4 つのホストをホスト A、ホスト B、ホスト C、ホスト D とします。たとえば、各ホストサーバーを次のように構成します。

• ホスト A: このサーバーはサービスホストとして構成します。SWS と Sun Internet FTP Server をインストールし、このホストを一次 DNS サーバーとして構成します。

• ホスト B: このサーバーはコンソールホストとして構成します。Sun Internet Services Monitor をインストールし、二次 DNS サーバーとして構成します。

• ホスト C: このサーバーはサービスホストとして構成します。 Sun Internet News Server をインストールします。

• ホスト D: このサーバーはコンソールホストとして構成します。Sun Internet Administrator と Sun Directory Services をインストールします。

  ---

  注 -

  ここで示した DNS サーバーとしての構成は、推奨設定の一例にすぎません。Solaris for ISPs の拡張機能と各種サービスは、DNS サーバーの役割を持たないホストにもインストールできます。ほとんどの拡張機能と各種サービスは、定期的なネームルックアップ機能を必要とするだけです。

  ---

---

注 -

ネットワークホストの設定計画が完了したら、Solaris for ISPs のインストールのために各ホストを準備します。設定計画に合わせてホストを準備する方法については、「Solaris for ISPs のプラットフォーム拡張機能」を参照してください。

---

セキュリティ問題

インターネットへのアクセスが可能なネットワークには、必ずセキュリティ上のリスクが伴います。また、Solaris for ISPs の導入によってもリスクが生じます。いずれにしても、ネットワークを保護するためのセキュリティ対策が必要になります。以降の項では、そのためのシステム管理方法と、ネットワークのセキュリティ強化のための Solaris for ISPs 機能について説明します。

インターネットの一般的なセキュリティ問題

ネットワーク同士をインターネットで接続すると、サービスの中断、不正ユーザーの侵入、重大な損害が発生する可能性があります。この項では、インターネットで知られている注意すべきセキュリティ問題について説明します。それらのセキュリティ対策については、「セキュリティ強化策」を参照してください。

• サービス不能: システムにおける顧客へのサービス提供を不能にして、顧客がサービスを利用できなくします。たとえば、ネットワークを無駄なトラフィックであふれさせ、顧客にサービスを提供できなくします。ネットワークがこのような攻撃を受けると、システムクラッシュが発生したり、サービスの提供が極端に低下したりします。

• バッファオーバーランの悪用: ソフトウェアの弱点をついてプログラム内にデータを紛れ込ませます。そのようなプログラムが root の権限を取得した場合は、システムに自由にアクセスできることになります。その結果、ホストがサービス不能状態になることがあります。

• パスワードなどの盗用: ネットワーク上の 2 つのマシン間のトラフィックでは、 telnet、rlogin、ftp などで暗号化されていないパスワードが送受信されることがあります。それを盗聴した不正ユーザーがネットワークに侵入したり、機密データを読み出したりする可能性があります。

• IP の盗用: IP を盗用してコンピュータに不正アクセスします。侵入者はネットワークトラフィックを盗聴して信頼済みホストの IP アドレスを入手します。次に、その信頼済みホストを偽装して、メッセージを送ります。

• 内部からの漏えい: ネットワークへの侵入の多くは、悪意や不満を持つ現在のまたは過去の従業員によるものです。そのような内部の人間がアクセス権を悪用して情報を盗み出したり、ネットワークに侵入したりすることがあります。

Solaris for ISPs のセキュリティ問題

この項では、Solaris for ISPs の機能のうち、ソフトウェアをセキュリティリスクにさらす可能性があるものについて説明します。それらの対策については、「セキュリティ強化策」を参照してください。

• 管理製品: FTP や ニュースなど Solaris for ISPs の個別サービスに対する管理製品により、特権操作にアクセスできる新しい方法が提供されます。管理者のパスワードを何らかの方法で入手した侵入者は、ネットワークから管理者インタフェースにアクセスして各サービスの動作を変更できます。この場合、Solaris for ISPs に付属している SunScreen SKIP を使用すると、受信トラフィックを認証し、また転送中の出力データを他のユーザーから見えないようにできます。

• 遠隔コマンド実行メカニズム: Sun Internet Administrator を導入すると、管理コントロールの遠隔実行メカニズムにより、コマンド行から実行する管理コマンドのすべてにアクセスできます。このメカニズムが侵入者によって破られると、それらの管理コマンドにアクセス可能になります。この場合、スーパーユーザーは、登録済みのシステム管理者だけが管理コマンドを実行できるように設定できます。

• Sun Directory Services: この Solaris for ISPs ソフトウェアは、他の Solaris for ISPs 拡張機能と各種サービスに関するパスワードなどの情報の保存と管理に使用できます。侵入者が不正侵入によりそのような機密情報を入手する危険がありますが、Sun Directory Services ではほとんどのパスワードが暗号化されています。また暗号化されていないパスワードには、スーパーユーザー以外はアクセスできません。

セキュリティ強化策

システムへの不正なアクセス、データの破壊や変更を防ぎ、また正規ユーザーのネットワークの利用が妨げられないようにするためのセキュリティ強化策を次に示します。

• パスワードを定期的に変更します。また、簡単に推測できないパスワードを使用するようにユーザーに徹底します。パスワード管理にローカルファイルを使用すると、すべての Solaris for ISPs ソフトウェアで定期的なパスワード変更が強制されます。

• 公開キーによる暗号化を使用して、信頼済みホスト間のトラフィックを IP レベルですべて暗号化します。Solaris for ISPs にバンドルされている SKIP を使用すると、受信トラフィックを認証し、転送中の出力データが他のユーザーによって見られたり変更されたりしないようにできます。

• 信頼済みホストを識別できるルーターを使用して、IP アドレスの偽装を排除します。

• ソフトウェアの弱点を修正し、ソフトウェアレベルのセキュリティを強化します。

• セキュリティリスクをもたらすようなサービスのうち、不要なものを無効にします。Solaris for ISPs インストール時のホスト構成ソフトウェアでは、パスワードが流出してホストに不正アクセスされることがないように、「r」 コマンドのいくつかを無効にします。

• 従業員のアクセス権を、各自の仕事に必要なデータや情報だけに限定します。

• ネットワークの監視やファイアウォールなどのセキュリティメカニズムを導入します。

設定時の注意事項

この節では、ホスト構成時に注意しなければならない Solaris for ISPs のデフォルト機能について説明します。この節で取り上げるトピックは次のとおりです。

• Solaris 基本環境の変更 - Solaris for ISPs が変更するシステムファイル

• ログファイルの管理 - Solaris for ISPs の常駐デーモン

• ユーザー定義スクリプト - インストール後に実行されるスクリプトの作成

• 管理 Web サーバー (AWS) のデフォルト設定 - AWS のデフォルト設定の復元

Solaris 基本環境の変更

ホスト構成中に加えられる Solaris サービスへの変更には、一度限りの設定と再構成可能な設定があります。インストールに関するデフォルト設定をそのまま使用すると、Solaris for ISPs をインストールするホストの基本環境がデフォルト設定に従って変更されます。

---

注 -

ホスト構成時には、必ず Solaris 基本環境への変更事項を確認し、必要に応じて変更してください。これらの変更は Solaris for ISPs の将来のバージョンに組み込まれない可能性があります。

---

一度限りの設定

Solaris for ISPs には、基本環境を構成するスクリプトがあり、パスワードのセキュリティを強化しファイルへのアクセスをファイル所有者に限定するために一度だけ実行されます。このスクリプトは、最初のインストール作業の一環として、一連のデフォルト変更を行います。このスクリプトの内容は、ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz に入っているスクリプトと同様です。一度限りの変更を元に戻す方法については、「Solaris 基本環境の復元」を参照してください。

この項では、Solaris for ISPs を最初にインストールするときに、基本環境に対して自動的に加えられる変更について詳しく説明します。Solaris for ISPs をインストールする前に、必ずこの項を読んでください。

---

注 -

基本環境を変更するスクリプトが実行されますが、変更が加えられるのは、ファイルに対して矛盾した変更がユーザーによって設定されていない場合に限ります。

---

• Solaris パッケージとしてインストールされたファイルへのアクセスモードを、次のようにより厳しく設定し直します。

  • setuid と setgid から、グループおよびその他による読み取り権を削除します。

  • 次の条件を満たす setuid 以外のファイルから、グループおよびその他による書き込み権を削除します。

    • グループとその他による読み込み権を持つが、その他による書き込み権は持たないファイル

    • その他による実行権を持つファイル

    • 所有者、グループ、その他によるアクセス権が同じファイル

    • 所有者が bin のディレクトリまたは不揮発性ファイルで、グループとその他による読み込み権と実行権が同じもの

  • 所有者が root 以外の実行可能ファイルから、所有者による書き込み権を削除します。

• /.cshrc と /.profile に umask 077 を追加します。これにより、対話型のルートシェルの下で作成されるファイルのデフォルトのアクセス権が、root による読み取りと書き込みだけになります。

• /etc/ftpusers に root を追加して、root の FTP によるホスト接続を無効にします。

• sys、uucp、nuucp、listen のアカウントに対するデフォルトシェルを noshell に設定して、不正なログイン試行を記録します。こうすることにより、システムへの侵入を検出しやすくなります。

• /etc/default/passwd に MAXWEEKS=12 を設定します。ローカルファイルを使用してパスワード管理を行なっている場合は、これによって定期的なパスワード変更が強制されます。

• S35umask を作成して、システムデーモンが作成するファイルのデフォルトのアクセス権を所有者による書き込みだけにします。

• /etc/rc2.d/S69inet ファイルに ndd-set/dev/ipip_respond_to_echo_broadcast 0 という 1 行を追加して、サービス不能状態が起こらないようにします。

• /etc/syslog.conf ファイルを新バージョンに置き換えて、見やすく、侵入を検出しやすいログにします。新バージョンのログを使用すると、メッセージが機能別およびログレベル別にまとめられ、ハイレベルなメッセージが中央ログサーバーに送られます。

• bsmconv を実行し、/etc/security を構成して管理者の操作およびログインとログアウトがすべて記録されるようにします。これにより C2 監査が有効になり、syslog では見逃されていたイベントも記録されるようになります。

• この構成スクリプトで加えられた変更を /var/sadm/install/contents に記録し、将来のパッチインストールを可能にします。

再構成可能な設定

Solaris for ISPs のプラットフォーム拡張機能と各種サービスをデフォルト構成でインストールすると、そのホストのデフォルトのサービス動作が変わります。つまり、Solaris for ISPs ソフトウェアをインストールしたシステムにおいて、あまり重要でない Solaris ネットワークユーティリティを無効にして、サーバーのセキュリティを強化します。

---

注 -

ホスト構成時には必ずデフォルト構成を確認し、必要に応じて変更してください。

---

デフォルト構成を使用すると、特に指定しなければあまり重要でない Solaris サービスが無効になります。これは必須ではありませんが、セキュリティホールの可能性を排除し資源を保護するために、そのようなサービスを無効にすることをお勧めします。特に指定がなければ、サービスの有効または無効を変更するために inetd.conf が変更されます。この変更を元に戻す方法については、「Solaris 基本環境の復元」を参照してください。

セキュリティホールの可能性の排除

パスワードの流出と不正ユーザーによるアクセスを防ぐために、次の各サービスを無効にすることをお勧めします。

---

注 -

デフォルト設定を使用してインストールした場合、無効になった 「r」 コマンドを使用してホストにアクセスすることはできません。

---

• rexecd: このサービスを無効にすると、rexec(3N) によるコマンドの遠隔実行は行えなくなります。このサービスはパスワードを単純テキスト形式で送信します。

• rlogind: このサービスを無効にすると、パスワードのセキュリティが強化されます。このサービスは、遠隔ログインの際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

• rshd: このサービスを無効にすると、パスワードによる保護が行われます。このサービスは、コマンドの遠隔実行の際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• telnetd: インストールのデフォルト設定では、遠隔ログインを可能にするために、このサービスが有効になることに注意してください。

• ftpd: インストールのデフォルト設定では、最小のセキュリティリスクでネットワーク上の遠隔サイトとのファイル転送を可能にするために、このサービスが有効になることに注意してください。Sun Internet FTP Server をインストールする場合は、このサービスが無効になります。

  ---

  注 -

  telnet および FTP サービスにおけるセキュリティを強化するには、ファイル転送要求がネットワーク内に限定されるようにネットワークを設定します。

  ---

システム情報を不正ユーザーから保護するために、次の各サービスを無効にすることをお勧めします。次の各サービスを無効にすると、サービスからのネットワーク要求に対してホストからの応答を拒否することにより、システム情報へのアクセスが制限されてシステムセキュリティが向上します。

• fingerd: このサービスを無効にすると、ネットワークベースの finger 要求からシステム情報が保護されます。

• netstat: このサービスを無効にすると、ネットワーク関連のさまざまなデータ構造の内容が、netstat の遠隔呼び出しによる読み取りから保護されます。

• rstatd: このサービスを無効にすると、システム統計情報へのアクセスが拒否されます。

• rusersd: このサービスを無効にすると、ログインしているユーザーに関する情報が保護されます。

• systat: このサービスを無効にすると、ホスト上で ps を遠隔実行できなくなります。

• routing: このサービスを無効にすると、ホストをルーターとして使用できなくなります。その場合、/etc/notrouter ファイルが作成されます。

• sendmail: このサービスを無効にすると、ホストをサービス不能にする攻撃から保護し、メール送受信のサポートを停止します。S88sendmail が変更されます。

• sprayd: このサービスを無効にすると、スプレーから送信されたネットワークとレコードパッケージのテストのサポートを停止します。

資源の保護

次の CDE と OpenWindows^TM サービスは、特に必要でない限り無効にすることをお勧めします。次の各サービスを無効にすることで、システムパフォーマンスが向上します。

• cmsd: このサービスはホスト上に CDE カレンダが存在する場合にしか必要ないため、それ以外の場合はこのサービスを無効にしてください。

• dtspcd: このサービスを無効にすると、CDE セッションのサポートを停止します。

• kcms_server: このサービスを無効にすると、OpenWindows KCMS プロファイルへの遠隔アクセスが行えなくなります。

• ttdbservered: このサービスを無効にすると、CDE 操作に必要な ToolTalk^TM データベースサーバーのサポートを停止します。

次のネットワーク (inetd) サービスは、特に必要でない限り無効にすることをお勧めします。次の各サービスを無効にすると、資源が解放されてシステムパフォーマンスが向上します。次に示すネットワークユーティリティが必要な場合は、デフォルト構成を変更してください。

• chargen: このサービスを無効にすると、inetd のテストと文字生成のサポートを停止します。

• discard: このサービスを無効にすると、テストしている inetd からの入力がすべて破棄されます。

• echo: このサービスを無効にすると、テストしている inetd からの入力のエコーバックが行われません。

• fs.auto: このサービスを無効にすると、フォントサーバーが無効になります。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• time: インストール時のデフォルト設定では、システム時刻の遠隔照会を可能にするために、このサービスが有効になることに注意してください。このサービスでは、マシン時刻が返されます。

• cachefsd: インストール時のデフォルト設定では、このサービスが有効になることに注意してください。これは、cacheFS デーモンです。

次の各サービスは、絶対に必要な場合を除いて無効にすることをお勧めします。次の各サービスを無効にすると、システムパフォーマンスが向上します。次に示すサービスが必要な場合は、デフォルト構成を変更してください。

• automountd: このサービスは自動マウントをサポートするためだけのもので通常の NFS マウントには不要なため、このサービスは無効にしてください。設定値を変更するには、S74autofs を変更します。

• comsat: このサービスを無効にすると、ホストが受け取った新しいメールの biff(1) 通知が送信されません。

• daytime: このサービスを無効にすると、日付と時刻の照会ができなくなります。

• rquotad: このサービスを無効にすると、ホストがファイルシステム上でディスク割り当てをサポートする NFS サーバーとして機能しないようにできます。

• sadmind: このサービスを無効にすると、Solstice AdminSuite^TM を使用した分散型システム管理操作のサポートを停止します。

• talkd: このサービスを無効にすると、対話型 talk プログラムのサポートを停止します。

• tnamed: このサービスを無効にすると、DARPA ネームサーバープロトコルのサポートを停止します。

• lpd: このサービスを無効にすると、ホストが BSD プリントサーバーとして機能しないようにできます。System V のプリントサーバーは停止しません。

• uucpd: このサービスを無効にすると、コピー元とコピー先のファイル名を引き数で指定したファイルコピーのサポートを停止します。

• walld: このサービスを無効にすると、wall によるメッセージ送信のサポートを停止します。

• Xaserver: このサービスを無効にすると、X ベースのオーディオのサポートを停止します。

---

注 -

ホスト構成中に Solaris サービスの有効または無効に関するオンラインヘルプを表示できます。

---

Solaris 基本環境の復元

ホスト構成中に行われるシステムのセキュリティ強化やパフォーマンス向上のための調整は、Solaris for ISPs の次のバージョンには組み込まれない可能性があります。この項では、ホスト構成中に加えた変更を元に戻して、Solaris 基本環境を復元する手順について説明します。

元の環境に戻すマシンにログインして、スーパーユーザーのアクセス権を取得します。どの変更を元に戻すかを決定し、次のリストからそれに対応する手順を実行します。

• Solaris 基本環境の各サービスは、セキュリティ強化とパフォーマンス向上のためにホスト構成のグラフィカルユーザーインタフェース (GUI) で調整されています。ここで行なった変更は再構成可能な変更なので、もう一度ホスト構成 GUI を使用して設定値をリセットできます。Solaris サービスの設定値をリセットする方法については、『Solaris for ISPs のインストール』とホスト構成のオンラインヘルプを参照してください。

• インストール後に 2 つのブートファイル (S35umask と S68echo) が /etc/rc2.d に作成されています。このブートファイルは、Solaris for ISPs プラットフォームコンポーネントをインストール解除すると自動的に削除されます。

  ---

  注 -

  システム構成に対する一度限りの変更のいくつかは、手動で元に戻す必要があります。その手順を次に示します。

  ---

• /opt/SUNWfixm/bin/fixmodes -u と入力して、一度限りの変更を元に戻します。

• bsmunconv と入力して、監査モードを C2 から C1 に戻します。これにより、 syslog では見逃されていたイベントを記録するように設定した監査モードが元に戻ります。

• 現バージョンの /.cshrc、/.profile、/.zshenv、/etc/ftpusers、/etc/default/passwd、 /etc/syslog.conf を、file.pre-hcfconfig バージョンと比較します。現在のファイルには、セキュリティ強化のための変更、およびその後加えられた変更が入っています。ホスト構成ソフトウェアで加えられた変更箇所を見つけて、テキストエディタで元に戻します。

  ---

  注 -

  file.pre-hcfconfig を最新バージョンの file にコピーしないでください。コピーすると、ホスト構成以後に行なった変更も元に戻ってしまいます。

  ---

ログファイルの管理

この項では、ログファイル管理を行う常駐デーモン (hclfmd) について説明します。この常駐デーモンはスーパーユーザーの権限で実行されます。ブート時に起動され、次の作業を行います。

• /etc/syslog.conf 内のログファイルリストを解析し、ファイルパスが /dev (システムデバイス関連ファイル) で開始していないものを見つけて、クリーンアップ、ジャーナル、サイクルパスを毎日行います。

  syslogd が作成した各ログファイルに対して、次の作業を行います。

  • 既存のログファイル名を変更して、その日のログを新たに作成します。

  • syslog デーモンに再起動シグナル (-HUP) を送って、その日のログを新たに作成します。

  • 毎日のログファイルを週に一度圧縮してアーカイブを作成し、 name.YYYYMMDD-YYYYMMDD.tar.z という名前で保存します。

  • 一ヶ月以上経過した週単位のアーカイブを削除します。

• /etc/security/audit_control から監査ログを見つけ出して、クリーンアップ、ジャーナル、サイクルパスを毎日行います。

  ローカルにマウントされた監査ディレクトリに対して次の作業を行います。

  • audit -n を実行して、その日のログを新たに作成します。監査ディレクトリは現在の監査ファイルを閉じて、現在の監査ディレクトリに新しい監査ファイルを開きます。

  • 毎日のログファイルを週に一度圧縮してアーカイブを作成し、audit.YYYYMMDD-YYYYMMDD.tar.z という名前で保存します。

  • 一ヶ月以上経過した週単位のアーカイブを削除します。

• 10 分ごとに不正アクセスの検出を行います。

  • ユーザーの認証に失敗した場合は、すべて syslog ファイルに記録します。

  • デフォルトの /etc/opt/SUNWisp/hc/hclfmd.conf は、syslog に記録されている認証失敗をすべてスーパーユーザーにメールで通知するように構成されています。

    ---

    注 -

    このファイルは再構成できます。デフォルトでは次のように構成されています。/var/log/badauth:/usr/bin/mailx -s "%f" root < %c

    • /var/log/badauth は、認証失敗が記録されるファイルです。

    • /usr/bin/mailx -s は、スーパーユーザーにメールを送るコマンドです。

    • "%f" はメールの件名です。認証失敗が記録されているファイル名が入ります。

    • "%c" は、syslog ファイルの新しい内容です。

    ---

ユーザー定義スクリプトの作成

Solaris for ISPs のインストールの最後にユーザー定義スクリプトを実行して、インストールや構成方法を変更できます。変更パラメータはシェルスクリプト形式で記述します。たとえば、次のようなコマンドを記述できます。 echo "foo" >> /etc/ftpusers

Solaris for ISPs をインストールするときのホスト構成 (「Post-Configuration」コマンド画面) で、作成しておいたユーザー定義スクリプトへのパスを指定するか、各コマンドを入力します。ユーザー定義スクリプトは、Solaris for ISPs のバッチインストールの最後に実行されます。

---

注 -

ユーザー定義スクリプトはオプションなので、必要がなければ作成しなくてもかまいません。

---

インストールの最後に実行されるユーザー定義スクリプトでは、たとえば次のようなプログラムを実行します。

• システム設定の変更箇所を確認するプログラム

• インストール後に使用可能なディスク容量を通知するプログラム

• 認証失敗に関する syslog からの通知メッセージを変更するプログラム (「ログファイルの管理」を参照)

• 別の独立ソフトウェアを構成するプログラム

• DNS ホストを構成するプログラム

  • DNS サーバーの IP アドレスを /etc/hosts に書き込む

  • /etc/resolv.conf を設定する

  • /etc/nsswitch.conf を変更する

    ---

    注 -

    ここに示した DNS サーバーの構成は一例にすぎません。既存の DNS サーバーを再構成する必要はありません。Solaris for ISPs の拡張機能と各種サービスが定期的にネームルックアップできるように DNS サーバーを再構成する方法については、関連マニュアルを参照してください。

    ---

管理 Web サーバーのデフォルト設定の復元

Sun Internet Administrator は、Web サーバーのユーザーインタフェースを使用して管理機能を実行します。この Web サーバーを管理 Web サーバー (AWS) といいます。管理 Web サーバーは必要に応じて構成できます。構成方法については、オンラインヘルプを参照してください。この項では、デフォルト構成を保存しておいていつでも復元できるように、管理 Web サーバーのデフォルト構成ファイルが入っている場所とその復元方法について説明します。

管理 Web サーバーのデフォルト構成ファイルは、 /etc/opt/SUNWixamc/awsconf/default/* と /var/opt/SUNWixamc/awsconf にあります。管理 Web サーバーを再構成するときは、/var/opt/SUNWixamc/awsconf だけを変更します。

デフォルト設定を復元するには、/etc/opt/SUNWixamc/awsconf/default/* を /var/opt/SUNWixamc/awsconf にコピーします。

---

注 -

Sun Internet Administrator コンソールを効率よく使用するには、 aws.conf、site.conf、map.conf、realms.conf、および access.acl 内のデフォルト設定を変更してはいけません。

---