一度限りの設定

Solaris for ISPs には、基本環境を構成するスクリプトがあり、パスワードのセキュリティを強化しファイルへのアクセスをファイル所有者に限定するために一度だけ実行されます。このスクリプトは、最初のインストール作業の一環として、一連のデフォルト変更を行います。このスクリプトの内容は、ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz に入っているスクリプトと同様です。一度限りの変更を元に戻す方法については、「Solaris 基本環境の復元」を参照してください。

この項では、Solaris for ISPs を最初にインストールするときに、基本環境に対して自動的に加えられる変更について詳しく説明します。Solaris for ISPs をインストールする前に、必ずこの項を読んでください。

基本環境を変更するスクリプトが実行されますが、変更が加えられるのは、ファイルに対して矛盾した変更がユーザーによって設定されていない場合に限ります。

• Solaris パッケージとしてインストールされたファイルへのアクセスモードを、次のようにより厳しく設定し直します。

  • setuid と setgid から、グループおよびその他による読み取り権を削除します。

  • 次の条件を満たす setuid 以外のファイルから、グループおよびその他による書き込み権を削除します。

    • グループとその他による読み込み権を持つが、その他による書き込み権は持たないファイル

    • その他による実行権を持つファイル

    • 所有者、グループ、その他によるアクセス権が同じファイル

    • 所有者が bin のディレクトリまたは不揮発性ファイルで、グループとその他による読み込み権と実行権が同じもの

  • 所有者が root 以外の実行可能ファイルから、所有者による書き込み権を削除します。

• /.cshrc と /.profile に umask 077 を追加します。これにより、対話型のルートシェルの下で作成されるファイルのデフォルトのアクセス権が、root による読み取りと書き込みだけになります。

• /etc/ftpusers に root を追加して、root の FTP によるホスト接続を無効にします。

• sys、uucp、nuucp、listen のアカウントに対するデフォルトシェルを noshell に設定して、不正なログイン試行を記録します。こうすることにより、システムへの侵入を検出しやすくなります。

• /etc/default/passwd に MAXWEEKS=12 を設定します。ローカルファイルを使用してパスワード管理を行なっている場合は、これによって定期的なパスワード変更が強制されます。

• S35umask を作成して、システムデーモンが作成するファイルのデフォルトのアクセス権を所有者による書き込みだけにします。

• /etc/rc2.d/S69inet ファイルに ndd-set/dev/ipip_respond_to_echo_broadcast 0 という 1 行を追加して、サービス不能状態が起こらないようにします。

• /etc/syslog.conf ファイルを新バージョンに置き換えて、見やすく、侵入を検出しやすいログにします。新バージョンのログを使用すると、メッセージが機能別およびログレベル別にまとめられ、ハイレベルなメッセージが中央ログサーバーに送られます。

• bsmconv を実行し、/etc/security を構成して管理者の操作およびログインとログアウトがすべて記録されるようにします。これにより C2 監査が有効になり、syslog では見逃されていたイベントも記録されるようになります。

• この構成スクリプトで加えられた変更を /var/sadm/install/contents に記録し、将来のパッチインストールを可能にします。