ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: IP サービス Oracle Solaris 11 Information Library (日本語) |
13. DHCP コマンドと DHCP ファイル (リファレンス)
16. IP セキュリティーアーキテクチャー (リファレンス)
20. Oracle Solaris の IP フィルタ (概要)
Oracle Solaris を起動したときに IPsec セキュリティーポリシーを有効化するには、特定の IPsec ポリシーエントリを使用して構成ファイルを作成し IPsec を初期化します。このファイルのデフォルトの名前は /etc/inet/ipsecinit.conf です。ポリシーエントリとその形式の詳細については、ipsecconf(1M) のマニュアルページを参照してください。ポリシーの構成が完了したら、svcadm refresh ipsec/policy コマンドを使用してポリシーを更新できます。
Oracle Solaris ソフトウェアには、サンプルの IPsec ポリシーファイル ipsecinit.sample が含まれます。このファイルをテンプレートとして独自の ipsecinit.conf ファイルを作成できます。ipsecinit.sample ファイルには、次のエントリが含まれています。
... # In the following simple example, outbound network traffic between the local # host and a remote host will be encrypted. Inbound network traffic between # these addresses is required to be encrypted as well. # # This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr) # and 10.0.0.2 is the IPv4 address of the remote host (raddr). # {laddr 10.0.0.1 raddr 10.0.0.2} ipsec {encr_algs aes encr_auth_algs sha256 sa shared} # The policy syntax supports IPv4 and IPv6 addresses as well as symbolic names. # Refer to the ipsecconf(1M) man page for warnings on using symbolic names and # many more examples, configuration options and supported algorithms. # # This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr) # and 10.0.0.2 is the IPv4 address of the remote host (raddr). # # The remote host will also need an IPsec (and IKE) configuration that mirrors # this one. # # The following line will allow ssh(1) traffic to pass without IPsec protection: {lport 22 dir both} bypass {} # # {laddr 10.0.0.1 dir in} drop {} # # Uncommenting the above line will drop all network traffic to this host unless # it matches the rules above. Leaving this rule commented out will allow # network packets that does not match the above rules to pass up the IP # network stack. ,,,
確立された接続の IPsec ポリシーを変更することはできません。ポリシーの変更ができないソケットを、「ラッチされたソケット」と呼びます。新しいポリシーエントリは、すでにラッチされたソケットを保護しません。詳細については、connect(3SOCKET) と accept(3SOCKET) のマニュアルページを参照してください。自信がない場合は、接続を再起動してください。
ネーミングシステムを保護してください。次の 2 つの条件に該当する場合、そのホスト名は信頼できません。
ソースアドレスが、ネットワークを介して参照できるホストである。
ネーミングシステムの信頼性に問題がある。
セキュリティーの弱点の多くは、実際のツールではなく、ツールの使用方法にあります。ipsecconf コマンドを使用するときは注意が必要です。もっとも安全な操作モードのために、ssh を使用するか、コンソールなど物理的に接続された TTY を使用してください。