ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris 11 セキュリティーの概要
2. Oracle Solaris 11 セキュリティーの構成
ssh および ftp ユーザーに対するセキュリティーメッセージの表示
ネットワークパラメータのセキュリティー保護された値へのリセット
次の作業がもっとも多く順番に実行されています。この時点で、Oracle Solaris 11 OS がインストールされ、root 役割を引き受けることができる初期ユーザーのみがシステムにアクセスできます。
|
インストール直後に、パッケージを検証することによってインストールを検証します。
始める前に
root 役割になっている必要があります。
レコードを保存するには、コマンド出力をファイルに送信します。
# pkg verify > /var/pkgverifylog
参照
詳細については、pkg(1) および pkg(5) のマニュアルページを参照してください。マニュアルページには、pkg verify コマンドの使用例が記載されています。
この手順を使用して、システムの目的に応じて必要がないサービスを無効にします。
始める前に
root 役割になっている必要があります。
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
たとえば、システムが NFS サーバーや Web サーバーではなく、サービスがオンラインである場合は、これを無効にします。
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
参照
詳細は、『Oracle Solaris の管理: 一般的なタスク』の第 6 章「サービスの管理 (概要)」および svcs(1) のマニュアルページを参照してください。
この手順を使用して、このシステムのユーザーがシステムを保存停止したり、電源を切ったりすることを回避します。
始める前に
root 役割になっている必要があります。
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
手順については、『Oracle Solaris の管理: セキュリティーサービス』の「権利プロファイルを作成または変更する方法」を参照してください。
#CONSOLE_USER=Console User
# usermod -P +new-profile username
参照
詳細については、『Oracle Solaris の管理: セキュリティーサービス』の「policy.conf ファイル」および policy.conf(4) と usermod(1M) のマニュアルページを参照してください。
この手順を使用して、サイトのセキュリティーポリシーが反映された警告メッセージを作成します。これらのファイルの内容は、ローカルおよびリモートのログイン時に表示されます。
注 - この手順のサンプルメッセージは、アメリカ合衆国政府の要件を満たしておらず、ユーザーのセキュリティーポリシーも満たしていない可能性があります。
始める前に
root 役割になっている必要があります。ベストプラクティスは、セキュリティーメッセージの内容について会社の弁護士に相談することです。
# vi /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
詳細は、issue(4) のマニュアルページを参照してください。
/etc/issue ファイルの内容が telnet プログラムのログインメッセージとして表示されます。ほかのアプリケーションでのこのファイルの使用については、「ssh および ftp ユーザーに対するセキュリティーメッセージの表示」 および 「セキュリティーメッセージのデスクトップログイン画面への配置」を参照してください。
# vi /etc/motd This system serves authorized users only. Activity is monitored and reported.
ユーザーがログイン時に確認するセキュリティーメッセージを作成する方法を複数の中から選択します。
詳細は、デスクトップ上で「システム」>「ヘルプ」メニューをクリックして GNOME ヘルプブラウザを起動してください。yelp コマンドを使用することもできます。デスクトップログインスクリプトについては、gdm(1M) のマニュアルページの「GDM Login Scripts and Session Files」のセクションを参照してください。
注 - この手順のサンプルメッセージは、アメリカ合衆国政府の要件を満たしておらず、ユーザーのセキュリティーポリシーも満たしていない可能性があります。
始める前に
root 役割になっている必要があります。ベストプラクティスは、セキュリティーメッセージの内容について会社の弁護士に相談することです。
複数のオプションがあります。ダイアログボックスを作成するオプションでは、「バナーファイルへのセキュリティーメッセージの配置」の手順 1 で作成した /etc/issue ファイルを使用できます。
# vi /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
ユーザーは、ログインウィンドウでの認証後にワークスペースに移動するには、このダイアログボックスを閉じる必要があります。zenity コマンドのオプションについては、zenity(1) のマニュアルページを参照してください。
/etc/gdm ディレクトリには、デスクトップログインの前、間、または直後にセキュリティーメッセージを表示するための 3 つの初期化スクリプトが含まれています。これらのスクリプトは、Oracle Solaris 10 リリースでも利用可能です。
# vi /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
このスクリプトは、ユーザーのワークスペースが表示される前に実行されます。このスクリプトを作成するには、Default.sample スクリプトを変更します。
# vi /etc/gdm/PostLogin/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
# vi /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue
注 - このダイアログボックスは、ユーザーのワークスペース上のウィンドウの下に隠れることがあります。
メッセージに合わせてログインウィンドウが拡大されます。この方法では、/etc/issue ファイルを指定しません。GUI にテキストを入力する必要があります。
注 - ログインウィンドウ (gdm-greeter-login-window.ui) が pkg fix コマンドと pkg update コマンドによって上書きされます。変更を保持するには、このファイルを構成ファイルディレクトリにコピーし、システムをアップグレードしたあとで、その変更を新しいファイルにマージします。詳細は、pkg(5) のマニュアルページを参照してください。
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
glade-3 プログラムによって GTK+ インタフェースデザイナが開きます。ユーザー入力フィールドの上に表示されるラベルにセキュリティーメッセージを入力します。
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
インタフェースデザイナのガイドを確認するには、GNOME ヘルプブラウザで「開発」をクリックしてください。glade-3(1) のマニュアルページは、マニュアルページの「アプリケーション」の下に表示されます。
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
例 2-1 デスクトップログイン時の短い警告メッセージの作成
この例では、デスクトップファイル内の zenity コマンドへの引数として管理者が短いメッセージを入力します。管理者は、--warning オプションを使用してメッセージとともに警告アイコンも表示します。
# vi /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application