ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11 Information Library (日本語) |
1. Oracle Solaris 11 セキュリティーの概要
2. Oracle Solaris 11 セキュリティーの構成
ユーザーからの Power Management 機能の削除
この時点で、役割を引き受けることができるユーザーが作成され、役割が作成されている場合があります。root 役割のみがシステムファイルを変更できます。
次のネットワーク作業から、サイトの要件に従って追加のセキュリティーを提供する作業を実行します。これらのネットワーク作業は、リモートログイン中のユーザーにシステムが保護されていることを通知し、IP、ARP、および TCP プロトコルを強化します。
|
この手順を使用して、リモートログイン時およびファイル転送時に警告を表示します。
始める前に
root 役割になっている必要があります。/etc/issue ファイルは、「バナーファイルへのセキュリティーメッセージの配置」の手順 1 で作成したものです。
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
詳細は、issue(4) および sshd_config(4) のマニュアルページを参照してください。
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
詳細は、ProFTPD の Web サイトを参照してください。
この手順を使用して、デフォルトルーターを指定したインストール後にネットワークルーティングを回避します。それ以外の場合は、手動でルーティングを構成したあとに、この手順を実行します。
注 - 多くのネットワーク構成の手順で、ルーティングデーモンを無効にする必要があります。したがって、より大規模な構成手順の一部として、このデーモンを無効にしておく場合があります。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
サービスが実行中でない場合は、ここで停止できます。
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
参照
routeadm(1M) のマニュアルページ
デフォルトでは、Oracle Solaris はブロードキャストパケットを転送します。サイトのセキュリティーポリシーでブロードキャストフラッディングの可能性を減少させる必要がある場合は、この手順を使用してデフォルトを変更します。
注 - _forward_directed_broadcasts ネットワークプロパティーを無効にすると、ブロードキャスト ping も無効になっています。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
参照
ipadm(1M) のマニュアルページ
この手順を使用して、ネットワークトポロジに関する情報の流布を回避します。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
参照
詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_respond_to_echo_broadcast と _respond_to_echo_multicast (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。
他のドメインへのゲートウェイであるシステム (ファイアウォールや VPN ノードなど) では、この手順を使用して厳格なマルチホーミングをオンにします。
Oracle Solaris 11 リリースでは、IPv4 および IPv6 用の新しいプロパティー hostmodel が導入されています。このプロパティーは、マルチホームシステム上での IP パケットの送受信動作を制御します。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
参照
詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「hostmodel (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。
厳格なマルチホーミングの使用についての詳細は、『Oracle Solaris の管理: IP サービス』の「トンネルモードの IPsec で VPN を保護する方法」を参照してください。
この手順を使用して、不完全な中断中の接続の数を制御することによってサービス拒否 (DOS) 攻撃を回避します。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
参照
詳細については、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_conn_req_max_q0」および ipadm(1M) のマニュアルページを参照してください。
この手順を使用して、許可される受信接続の数を制御することによって DOS 攻撃を回避します。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
参照
詳細については、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_conn_req_max_q」および ipadm(1M) のマニュアルページを参照してください。
この手順では、TCP の初期シーケンス番号生成パラメータを RFC 1948 に準拠するように設定します。
始める前に
システムファイルを変更するには、root 役割になる必要があります。
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
デフォルトでセキュリティー保護された多くのネットワークパラメータはチューニング可能であるため、変更可能です。サイトの条件が許す場合は、次のチューニング可能パラメータをデフォルト値に戻します。
始める前に
ネットワーク管理権利プロファイルが割り当てられている必要があります。パラメータの現在値がデフォルト値よりも安全ではありません。
デフォルト値で、なりすましパケットからの DOS 攻撃が回避されます。
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「forwarding (ipv4 または ipv6)」を参照してください。
デフォルト値で、ネットワークトポロジに関する情報の流布が回避されます。
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
デフォルト値で、システムでの追加 CPU の要求が回避されます。
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
診断目的で IP ソースルーティングが必要な場合は、このネットワークパラメータを無効にしないでください。
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
詳細は、『Oracle Solaris カーネルのチューンアップ・リファレンスマニュアル』の「_rev_src_routes」を参照してください。
デフォルト値で、システムでの追加 CPU の要求が回避されます。通常、適切に設計されたネットワークではリダイレクトは必要ありません。
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
参照
ipadm(1M) のマニュアルページ