デバイスポリシーの構成 (タスク)

デバイスポリシーは、システムに不可欠なデバイスに対するアクセスの制限または防止を行うものです。このポリシーはカーネルで適用されます。

デバイスポリシーの構成 (タスクマップ)

次のタスクマップは、デバイスポリシーに関連するデバイス構成作業の参照先を示しています。

タスク	説明	参照先
システム上のデバイスのデバイスポリシーを表示します。	デバイスとそれらのデバイスポリシーの一覧を表示します。	「デバイスポリシーを表示する方法」
デバイス使用のための特権を必要とします。	特権を使用してデバイスを保護します。	「既存のデバイスのデバイスポリシーを変更する方法」
デバイスから特権の要件を削除します。	デバイスのアクセスに必要な特権を削除するか、そのレベルを下げます。	例 5-3
デバイスポリシーの変更を監査します。	デバイスポリシーの変更を監査トレール内に記録します。	「デバイスポリシーの変更を監査する方法」
`/dev/arp` にアクセスします。	Oracle Solaris IP MIB-II 情報を取得します。	「`/dev/*` デバイスから IP MIB-II 情報を取得する方法」

デバイスポリシーを表示する方法

システム上のすべてのデバイスのデバイスポリシーを表示します。

% getdevpolicy | more
DEFAULT
read_priv_set=none
write_priv_set=none
ip:*
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
…

例 5-1 特定のデバイスのデバイスポリシーを表示する

この例では、3 つのデバイスのデバイスポリシーが表示されています。

% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/bge
/dev/allkmem
read_priv_set=all
write_priv_set=all
/dev/ipsecesp
read_priv_set=sys_net_config
write_priv_set=sys_net_config
/dev/bge
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess

既存のデバイスのデバイスポリシーを変更する方法

始める前に

Device Security 権利プロファイルが割り当てられている必要があります。

必要なセキュリティー属性を持つ管理者になります。
詳細は、「管理権限を取得する方法」を参照してください。
デバイスにポリシーを追加します。
```
# update_drv -a -p policy device-driver
```
-a

device-driver 用の policy を指定します。

-p policy

device-driver のデバイスポリシーです。デバイスポリシーは、2 セットの特権を指定します。1 つは、デバイスの読み取りに必要です。もう 1 つは、デバイスへの書き込みに必要です。

device-driver

デバイスドライバです。

詳細は、update_drv(1M) のマニュアルページを参照してください。

例 5-2 既存のデバイスにポリシーを追加する

次の例では、デバイス ipnat にデバイスポリシーが追加されています。

# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=none
write_priv_set=none
# update_drv -a \
-p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess

例 5-3 デバイスからポリシーを削除する

次の例では、デバイス ipnat のデバイスポリシーから読み取り特権セットが削除されます。

# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
# update_drv -a -p write_priv_set=net_rawaccess ipnat
# getdevpolicy /dev/ipnat
/dev/ipnat
read_priv_set=none
write_priv_set=net_rawaccess

デバイスポリシーの変更を監査する方法

デフォルトでは、as 監査クラスに、AUE_MODDEVPLCY 監査イベントが含まれます。

始める前に

Audit Configuration 権利プロファイルが割り当てられている必要があります。

必要なセキュリティー属性を持つ管理者になります。
詳細は、「管理権限を取得する方法」を参照してください。
AUE_MODDEVPLCY 監査イベントを含む監査クラスをあらかじめ選択します。
```
# auditconfig -getflags
current-flags
# auditconfig -setflags current-flags,as
```
詳細な手順については、「監査クラスを事前選択する方法」を参照してください。

`/dev/*` デバイスから IP MIB-II 情報を取得する方法

Oracle Solaris IP MIB-II 情報を取得するアプリケーションは、/dev/ip ではなく /dev/arp を開く必要があります。

/dev/ip および /dev/arp のデバイスポリシーを決定します。
```
% getdevpolicy /dev/ip /dev/arp
/dev/ip
read_priv_set=net_rawaccess
write_priv_set=net_rawaccess
/dev/arp
read_priv_set=none
write_priv_set=none
```
/dev/ip の読み取りおよび書き込みには、net_rawaccess 特権が必要であることに注意してください。/dev/arp は特権を必要としません。
/dev/arp を開き、tcp モジュールと udp モジュールをプッシュします。
特権は不要です。この方法は、/dev/ip を開いて arp、tcp、および udp モジュールをプッシュするのと同じです。現在、/dev/ip を開くには特権が必要なため、/dev/arp メソッドを推奨します。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語)