ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
サイト固有のセキュリティーテンプレートが必要かどうかを判断する
マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する
トラステッドネットワークのトラブルシューティング (作業マップ)
Trusted Extensions ネットワークをデバッグする
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
静的送信経路を使用すると、ラベル付きパケットがラベル付きまたはラベルなしゲートウェイ経由で宛先に到達できます。MLP は、アプリケーションが 1 つのエントリポイントを使用してすべてのゾーンに到達できるようにします。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
宛先の各ホスト、ネットワーク、ゲートウェイのセキュリティーテンプレートへの追加が完了しています。詳細は、「セキュリティーテンプレートにホストを追加する」 and 「セキュリティーテンプレートにホストの範囲を追加する」を参照してください。
# txzonemgr &
ゾーンに複数の IP アドレスがある場合は、目的のインタフェースを含むエントリを選択します。
注 - デフォルトルーターを削除または変更するには、エントリを削除し、IP エントリを作成し直してルーターを追加します。ゾーンに IP アドレスが 1つしかない場合、エントリを削除するには IP インスタンスを削除する必要があります。
例 16-17 route コマンドを使用した大域ゾーンのデフォルト経路の設定
この例では、管理者は route コマンドを使用して大域ゾーンのデフォルト経路を作成します。
# route add default 192.168.113.1 -static
ラベル付きゾーンや大域ゾーンにプライベート MLP と共有 MLP を追加できます。
この手順は、あるラベル付きゾーンで実行されているアプリケーションが、そのゾーンと通信するためにマルチレベルポート (MLP) を必要とする場合に使用します。この手順では、Web プロキシがゾーンと通信します。
始める前に
大域ゾーンで root 役割になっている必要があります。システムに少なくとも 2 つの IP アドレスが存在していなければならず、ラベル付きゾーンが停止されています。
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
たとえば、PUBLIC というラベルが明示的に付けられたパケットを認識するように、public ゾーンを構成します。この構成では、セキュリティーテンプレートの名前は webprox です。
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone tncfg:public> add host=10.1.2.3/16IP address of public zone tncfg:public> exit
たとえば、Web プロキシサービスは 8080/tcp インタフェース経由で PUBLIC ゾーンと通信を行うとします。
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
経路を追加するには、「デフォルト経路を追加する」を実行します。
例 16-18 txzonemgr GUI を使用した MLP の構成
管理者は、Web プロキシサービスを構成するために Labeled Zone Manager を開きます。
# txzonemgr &
管理者は、PUBLIC ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。次に、管理者は「Private interfaces」行を選択してダブルクリックします。選択領域が次のような入力フィールドに変わります。
Private interfaces:111/tcp;111/udp
管理者は、セミコロン区切り文字を使用して Web プロキシの入力を開始します。
Private interfaces:111/tcp;111/udp;8080/tcp
プライベートの入力が完了したら、管理者は「Shared interfaces」フィールドに Web プロキシを入力します。
Shared interfaces:111/tcp;111/udp;8080/tcp
public ゾーンのマルチレベルポートは次回のゾーンブート時に有効になることを示すポップアップメッセージが表示されます。
例 16-19 udp 経由 NFSv3 用のプライベートマルチレベルポートの構成
この例では、管理者は udp 経由の NFSv3 下位読み取りマウントを有効にします。管理者は tncfg コマンドを使用できます。
# tncfg -z global add mlp_private=2049/udp
また、txzonemgr GUI を使用して MLP を定義することもできます。
Labeled Zone Manager で、管理者は global ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。MLP のメニューで、管理者は「Private interfaces」行を選択してダブルクリックし、ポート/プロトコルを追加します。
Private interfaces:111/tcp;111/udp;8080/tcp
global ゾーンのマルチレベルポートは次回ブート時に有効になることを示すポップアップメッセージが表示されます。
例 16-20 システム上のマルチレベルポートの表示
この例のシステムには、複数のラベル付きゾーンが設定されています。すべてのゾーンが、同じ IP アドレスを共有します。一部のゾーンは、ゾーン固有のアドレスでも構成されます。この構成では、Web ブラウザ用の TCP ポートであるポート 8080 が、Public ゾーンの共有インタフェース上の MLP です。管理者は、telnet、TCP ポート 23 も、Public ゾーンの MLP として設定します。これら 2 つの MLP は共有インタフェース上にあるので、大域ゾーンも含めたほかのゾーンは、ポート 8080 および 23 の共有インタフェース上ではパケットを受信できません。
さらに、ssh 用の TCP ポートであるポート 22 は、Public ゾーンのゾーンごとの MLP です。Public ゾーンの ssh サービスは、ゾーン固有のアドレスで、そのアドレスのラベル範囲にあるどのパケットも受信できます。
次のコマンドが Public ゾーンの MLP を示します。
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
次のコマンドが大域ゾーンの MLP を示します。大域ゾーンは Public ゾーンと同じアドレスを共有するため、ポート 23 および 8080 は大域ゾーンでは MLP になれません。
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp