ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
Trusted Extensions でのデバイスセキュリティーの実施
Trusted Extensions のデバイス (リファレンス)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Oracle Solaris システムでは、割り当てと承認によってデバイスを保護できます。デフォルトでは、デバイスは承認のない一般ユーザーにも利用可能です。Trusted Extensions 機能が設定されたシステムは、Oracle Solaris OS のデバイス保護メカニズムを使用します。
ただし、Trusted Extensions の場合、デフォルトでは、デバイスを使用するには割り当てが必要であり、デバイスを使用するユーザーに承認が必要です。さらに、デバイスはラベルによっても保護されます。Trusted Extensions には、デバイスを管理する管理者向けのグラフィカルユーザーインタフェース (GUI) が用意されています。ユーザーがデバイスを割り当てる際にも、同じインタフェースを使用します。
注 - Trusted Extensions では、ユーザーは allocate コマンドと deallocate コマンドを使用できません。ユーザーは、デバイスマネージャーを使用する必要があります。
Oracle Solaris でのデバイス保護については、『Oracle Solaris の管理: セキュリティーサービス』の第 5 章「デバイスアクセスの制御 (タスク)」を参照してください。
Trusted Extensions が設定されたシステムでは、2 つの役割がデバイスを保護します。
システム管理者役割は、周辺機器へのアクセスを制御します。
システム管理者は、デバイスを割り当て可能にします。システム管理者が割り当て不可に設定したデバイスは、どのユーザーも使用できません。割り当て可能なデバイスは、承認ユーザーによってのみ割り当てられます。
セキュリティー管理者役割は、デバイスにアクセスできるラベルを制限し、デバイスポリシーを設定します。セキュリティー管理者は、デバイス割り当てを承認されるユーザーを決定します。
Trusted Extensions ソフトウェアによるデバイス制御の主な機能は、次のとおりです。
デフォルトでは、Trusted Extensions システムの未承認ユーザーは、テープドライブ、CD-ROM ドライブ、フロッピーディスクドライブなどのデバイスを割り当てることができません。
「デバイスの割り当て」承認を持つ一般ユーザーは、そのユーザーがデバイスを割り当てるラベルで情報をインポートまたはエクスポートできます。
ユーザーが直接ログインしている場合は、デバイス割り当てマネージャーを起動してデバイスを割り当てます。デバイスを遠隔で割り当てるには、ユーザーが大域ゾーンにアクセスできる必要があります。通常は、役割だけが大域ゾーンにアクセスできます。
各デバイスのラベル範囲は、セキュリティー管理者によって制限されます。一般ユーザーがアクセスできるのは、そのユーザーが作業を許可されているラベルを含むラベル範囲を持つデバイスだけです。デバイスのデフォルトのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。
割り当て可能なデバイスにも、割り当て不可のデバイスにも、ラベル範囲を制限できます。割り当て不可のデバイスは、フレームバッファーやプリンタなどのデバイスです。
ユーザーが機密情報をコピーできないように、割り当て可能な各デバイスにはラベル範囲があります。割り当て可能なデバイスを使用するには、ユーザーが現在そのデバイスのラベル範囲で操作している必要があります。それ以外のユーザーには、割り当てが拒否されます。ユーザーの現在のラベルは、デバイスがそのユーザーに割り当てられている間にインポートまたはエクスポートされるデータに適用されます。エクスポートされたデータのラベルは、デバイスが割り当て解除されるときに表示されます。エクスポートされたデータを含むメディアには、ユーザーが物理的にラベルを付ける必要があります。
コンソールによる直接ログインアクセスを制限するために、セキュリティー管理者はフレームバッファーに制限付きのラベル範囲を設定できます。
たとえば、制限付きのラベル範囲を指定して、公共アクセス可能なシステムへのアクセスを制限することもできます。ラベル範囲を使用すると、ユーザーはそのフレームバッファーのラベル範囲内でのみシステムにアクセスできるようになります。
ホストにローカルプリンタがある場合、プリンタに制限付きのラベル範囲を設定することによって、プリンタで印刷できるジョブを制限できます。
Trusted Extensions は Oracle Solaris と同じデバイスポリシーに従います。セキュリティー管理者は、デフォルトのポリシーを変更し、新しいポリシーを定義できます。getdevpolicy コマンドでデバイスポリシーに関する情報を取り出し、update_drv コマンドでデバイスポリシーを変更します。詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「デバイスポリシーの構成 (タスクマップ)」を参照してください。getdevpolicy(1M) および update_drv(1M) のマニュアルページも参照してください。
デバイスクリーンスクリプトは、デバイスを割り当てるとき、または割り当て解除するときに実行されます。Oracle Solaris には、テープドライブ、CD-ROM ドライブ、およびフロッピーディスクドライブ用のスクリプトが用意されています。サイトで割り当て可能なデバイスタイプをシステムに追加した場合、追加したデバイスにスクリプトが必要な場合があります。既存のスクリプトを確認する場合は、/etc/security/lib ディレクトリに移動します。詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「デバイスクリーンスクリプト」を参照してください。
Trusted Extensions ソフトウェアの場合、デバイスクリーンスクリプトは一定の要件を満たさなくてはなりません。この要件については、device_clean(5) のマニュアルページを参照してください。