Solaris 基本環境の変更

ホスト構成中に加えられる Solaris サービスへの変更には、一度限りの設定と再構成可能な設定があります。インストールに関するデフォルト設定をそのまま使用すると、Solaris for ISPs をインストールするホストの基本環境がデフォルト設定に従って変更されます。

ホスト構成時には、必ず Solaris 基本環境への変更事項を確認し、必要に応じて変更してください。これらの変更は Solaris for ISPs の将来のバージョンに組み込まれない可能性があります。

一度限りの設定

Solaris for ISPs には、基本環境を構成するスクリプトがあり、パスワードのセキュリティを強化しファイルへのアクセスをファイル所有者に限定するために一度だけ実行されます。このスクリプトは、最初のインストール作業の一環として、一連のデフォルト変更を行います。このスクリプトの内容は、ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz に入っているスクリプトと同様です。一度限りの変更を元に戻す方法については、「Solaris 基本環境の復元」を参照してください。

この項では、Solaris for ISPs を最初にインストールするときに、基本環境に対して自動的に加えられる変更について詳しく説明します。Solaris for ISPs をインストールする前に、必ずこの項を読んでください。

基本環境を変更するスクリプトが実行されますが、変更が加えられるのは、ファイルに対して矛盾した変更がユーザーによって設定されていない場合に限ります。

• Solaris パッケージとしてインストールされたファイルへのアクセスモードを、次のようにより厳しく設定し直します。

  • setuid と setgid から、グループおよびその他による読み取り権を削除します。

  • 次の条件を満たす setuid 以外のファイルから、グループおよびその他による書き込み権を削除します。

    • グループとその他による読み込み権を持つが、その他による書き込み権は持たないファイル

    • その他による実行権を持つファイル

    • 所有者、グループ、その他によるアクセス権が同じファイル

    • 所有者が bin のディレクトリまたは不揮発性ファイルで、グループとその他による読み込み権と実行権が同じもの

  • 所有者が root 以外の実行可能ファイルから、所有者による書き込み権を削除します。

• /.cshrc と /.profile に umask 077 を追加します。これにより、対話型のルートシェルの下で作成されるファイルのデフォルトのアクセス権が、root による読み取りと書き込みだけになります。

• /etc/ftpusers に root を追加して、root の FTP によるホスト接続を無効にします。

• sys、uucp、nuucp、listen のアカウントに対するデフォルトシェルを noshell に設定して、不正なログイン試行を記録します。こうすることにより、システムへの侵入を検出しやすくなります。

• /etc/default/passwd に MAXWEEKS=12 を設定します。ローカルファイルを使用してパスワード管理を行なっている場合は、これによって定期的なパスワード変更が強制されます。

• S35umask を作成して、システムデーモンが作成するファイルのデフォルトのアクセス権を所有者による書き込みだけにします。

• /etc/rc2.d/S69inet ファイルに ndd-set/dev/ipip_respond_to_echo_broadcast 0 という 1 行を追加して、サービス不能状態が起こらないようにします。

• /etc/syslog.conf ファイルを新バージョンに置き換えて、見やすく、侵入を検出しやすいログにします。新バージョンのログを使用すると、メッセージが機能別およびログレベル別にまとめられ、ハイレベルなメッセージが中央ログサーバーに送られます。

• bsmconv を実行し、/etc/security を構成して管理者の操作およびログインとログアウトがすべて記録されるようにします。これにより C2 監査が有効になり、syslog では見逃されていたイベントも記録されるようになります。

• この構成スクリプトで加えられた変更を /var/sadm/install/contents に記録し、将来のパッチインストールを可能にします。

再構成可能な設定

Solaris for ISPs のプラットフォーム拡張機能と各種サービスをデフォルト構成でインストールすると、そのホストのデフォルトのサービス動作が変わります。つまり、Solaris for ISPs ソフトウェアをインストールしたシステムにおいて、あまり重要でない Solaris ネットワークユーティリティを無効にして、サーバーのセキュリティを強化します。

ホスト構成時には必ずデフォルト構成を確認し、必要に応じて変更してください。

デフォルト構成を使用すると、特に指定しなければあまり重要でない Solaris サービスが無効になります。これは必須ではありませんが、セキュリティホールの可能性を排除し資源を保護するために、そのようなサービスを無効にすることをお勧めします。特に指定がなければ、サービスの有効または無効を変更するために inetd.conf が変更されます。この変更を元に戻す方法については、「Solaris 基本環境の復元」を参照してください。

セキュリティホールの可能性の排除

パスワードの流出と不正ユーザーによるアクセスを防ぐために、次の各サービスを無効にすることをお勧めします。

デフォルト設定を使用してインストールした場合、無効になった 「r」 コマンドを使用してホストにアクセスすることはできません。

• rexecd: このサービスを無効にすると、rexec(3N) によるコマンドの遠隔実行は行えなくなります。このサービスはパスワードを単純テキスト形式で送信します。

• rlogind: このサービスを無効にすると、パスワードのセキュリティが強化されます。このサービスは、遠隔ログインの際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

• rshd: このサービスを無効にすると、パスワードによる保護が行われます。このサービスは、コマンドの遠隔実行の際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• telnetd: インストールのデフォルト設定では、遠隔ログインを可能にするために、このサービスが有効になることに注意してください。

• ftpd: インストールのデフォルト設定では、最小のセキュリティリスクでネットワーク上の遠隔サイトとのファイル転送を可能にするために、このサービスが有効になることに注意してください。Sun Internet FTP Server をインストールする場合は、このサービスが無効になります。

  ---

  注 -

  telnet および FTP サービスにおけるセキュリティを強化するには、ファイル転送要求がネットワーク内に限定されるようにネットワークを設定します。

  ---

システム情報を不正ユーザーから保護するために、次の各サービスを無効にすることをお勧めします。次の各サービスを無効にすると、サービスからのネットワーク要求に対してホストからの応答を拒否することにより、システム情報へのアクセスが制限されてシステムセキュリティが向上します。

• fingerd: このサービスを無効にすると、ネットワークベースの finger 要求からシステム情報が保護されます。

• netstat: このサービスを無効にすると、ネットワーク関連のさまざまなデータ構造の内容が、netstat の遠隔呼び出しによる読み取りから保護されます。

• rstatd: このサービスを無効にすると、システム統計情報へのアクセスが拒否されます。

• rusersd: このサービスを無効にすると、ログインしているユーザーに関する情報が保護されます。

• systat: このサービスを無効にすると、ホスト上で ps を遠隔実行できなくなります。

• routing: このサービスを無効にすると、ホストをルーターとして使用できなくなります。その場合、/etc/notrouter ファイルが作成されます。

• sendmail: このサービスを無効にすると、ホストをサービス不能にする攻撃から保護し、メール送受信のサポートを停止します。S88sendmail が変更されます。

• sprayd: このサービスを無効にすると、スプレーから送信されたネットワークとレコードパッケージのテストのサポートを停止します。

資源の保護

次の CDE と OpenWindows^TM サービスは、特に必要でない限り無効にすることをお勧めします。次の各サービスを無効にすることで、システムパフォーマンスが向上します。

• cmsd: このサービスはホスト上に CDE カレンダが存在する場合にしか必要ないため、それ以外の場合はこのサービスを無効にしてください。

• dtspcd: このサービスを無効にすると、CDE セッションのサポートを停止します。

• kcms_server: このサービスを無効にすると、OpenWindows KCMS プロファイルへの遠隔アクセスが行えなくなります。

• ttdbservered: このサービスを無効にすると、CDE 操作に必要な ToolTalk^TM データベースサーバーのサポートを停止します。

次のネットワーク (inetd) サービスは、特に必要でない限り無効にすることをお勧めします。次の各サービスを無効にすると、資源が解放されてシステムパフォーマンスが向上します。次に示すネットワークユーティリティが必要な場合は、デフォルト構成を変更してください。

• chargen: このサービスを無効にすると、inetd のテストと文字生成のサポートを停止します。

• discard: このサービスを無効にすると、テストしている inetd からの入力がすべて破棄されます。

• echo: このサービスを無効にすると、テストしている inetd からの入力のエコーバックが行われません。

• fs.auto: このサービスを無効にすると、フォントサーバーが無効になります。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• time: インストール時のデフォルト設定では、システム時刻の遠隔照会を可能にするために、このサービスが有効になることに注意してください。このサービスでは、マシン時刻が返されます。

• cachefsd: インストール時のデフォルト設定では、このサービスが有効になることに注意してください。これは、cacheFS デーモンです。

次の各サービスは、絶対に必要な場合を除いて無効にすることをお勧めします。次の各サービスを無効にすると、システムパフォーマンスが向上します。次に示すサービスが必要な場合は、デフォルト構成を変更してください。

• automountd: このサービスは自動マウントをサポートするためだけのもので通常の NFS マウントには不要なため、このサービスは無効にしてください。設定値を変更するには、S74autofs を変更します。

• comsat: このサービスを無効にすると、ホストが受け取った新しいメールの biff(1) 通知が送信されません。

• daytime: このサービスを無効にすると、日付と時刻の照会ができなくなります。

• rquotad: このサービスを無効にすると、ホストがファイルシステム上でディスク割り当てをサポートする NFS サーバーとして機能しないようにできます。

• sadmind: このサービスを無効にすると、Solstice AdminSuite^TM を使用した分散型システム管理操作のサポートを停止します。

• talkd: このサービスを無効にすると、対話型 talk プログラムのサポートを停止します。

• tnamed: このサービスを無効にすると、DARPA ネームサーバープロトコルのサポートを停止します。

• lpd: このサービスを無効にすると、ホストが BSD プリントサーバーとして機能しないようにできます。System V のプリントサーバーは停止しません。

• uucpd: このサービスを無効にすると、コピー元とコピー先のファイル名を引き数で指定したファイルコピーのサポートを停止します。

• walld: このサービスを無効にすると、wall によるメッセージ送信のサポートを停止します。

• Xaserver: このサービスを無効にすると、X ベースのオーディオのサポートを停止します。

ホスト構成中に Solaris サービスの有効または無効に関するオンラインヘルプを表示できます。

Solaris 基本環境の復元

ホスト構成中に行われるシステムのセキュリティ強化やパフォーマンス向上のための調整は、Solaris for ISPs の次のバージョンには組み込まれない可能性があります。この項では、ホスト構成中に加えた変更を元に戻して、Solaris 基本環境を復元する手順について説明します。

元の環境に戻すマシンにログインして、スーパーユーザーのアクセス権を取得します。どの変更を元に戻すかを決定し、次のリストからそれに対応する手順を実行します。

• Solaris 基本環境の各サービスは、セキュリティ強化とパフォーマンス向上のためにホスト構成のグラフィカルユーザーインタフェース (GUI) で調整されています。ここで行なった変更は再構成可能な変更なので、もう一度ホスト構成 GUI を使用して設定値をリセットできます。Solaris サービスの設定値をリセットする方法については、『Solaris for ISPs のインストール』とホスト構成のオンラインヘルプを参照してください。

• インストール後に 2 つのブートファイル (S35umask と S68echo) が /etc/rc2.d に作成されています。このブートファイルは、Solaris for ISPs プラットフォームコンポーネントをインストール解除すると自動的に削除されます。

  ---

  注 -

  システム構成に対する一度限りの変更のいくつかは、手動で元に戻す必要があります。その手順を次に示します。

  ---

• /opt/SUNWfixm/bin/fixmodes -u と入力して、一度限りの変更を元に戻します。

• bsmunconv と入力して、監査モードを C2 から C1 に戻します。これにより、 syslog では見逃されていたイベントを記録するように設定した監査モードが元に戻ります。

• 現バージョンの /.cshrc、/.profile、/.zshenv、/etc/ftpusers、/etc/default/passwd、 /etc/syslog.conf を、file.pre-hcfconfig バージョンと比較します。現在のファイルには、セキュリティ強化のための変更、およびその後加えられた変更が入っています。ホスト構成ソフトウェアで加えられた変更箇所を見つけて、テキストエディタで元に戻します。

  ---

  注 -

  file.pre-hcfconfig を最新バージョンの file にコピーしないでください。コピーすると、ホスト構成以後に行なった変更も元に戻ってしまいます。

  ---