ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
Trusted Extensions のユーザーセキュリティー機能
Trusted Extensions でユーザーを作成する前に必要な決定事項
Trusted Extensions のデフォルトのユーザーセキュリティー属性
Trusted Extensions の policy.conf ファイルのデフォルト
Trusted Extensions の構成可能なユーザー属性
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
セキュリティー管理者は、新しいユーザーのセキュリティー属性を変更できます。デフォルト値を含むファイルについては、「Trusted Extensions のデフォルトのユーザーセキュリティー属性」を参照してください。次の表に、ユーザーに割り当て可能なセキュリティー属性とそれぞれの割り当ての効果を示します。
表 10-2 ユーザーの作成後に割り当てられるセキュリティー属性
|
ユーザーアカウントが作成されると、セキュリティー管理者は、ユーザーにセキュリティー属性を割り当てます。正しいデフォルトを設定した場合、次の手順としては、デフォルトに対する例外を必要とするユーザーのみにセキュリティー属性を割り当てることです。
ユーザーにセキュリティー属性を割り当てるときには、次の情報を考慮してください。
システム管理者は、ユーザーアカウントの作成時にアカウントにパスワードを割り当てることができます。この初期割り当てのあと、セキュリティー管理者またはユーザーはパスワードを変更できます。
Oracle Solaris の場合と同様に、ユーザーに定期的なパスワードの変更を強制できます。パスワードの有効期限オプションは、パスワードを推測または盗むことができる侵入者がシステムにアクセスできる期間を制限します。変更が可能になるまでの最低期間を設定すると、新しいパスワードに変更したユーザーがすぐに古いパスワードに戻すのを防ぐこともできます。詳細は、passwd(1) のマニュアルページを参照してください。
注 - 役割になれるユーザーのパスワードは、パスワードの有効期限の制約を受けないようにします。
1 人のユーザーに 1 つの役割を割り当てる必要はありません。サイトのセキュリティーポリシーに矛盾しなければ、1 人のユーザーに複数の役割を割り当てることができます。
Oracle Solaris OS と同様、承認をユーザーに割り当てると、これらの承認は既存の承認に追加されます。ベストプラクティスは、承認を権利プロファイルに追加し、プロファイルをユーザーに割り当てることです。
Oracle Solaris OS と同様に、権利プロファイルの順序は重要です。プロファイルメカニズムでは、承認を除いて、割り当て済みセキュリティー属性の最初のインスタンスの値が使用されます。詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「割り当てられたセキュリティー属性の検索順序」を参照してください。
プロファイルの整列順を利用できます。既存のプロファイルの定義と異なるセキュリティー属性でコマンドを実行する場合は、コマンドに目的の属性を割り当てた新しいプロファイルを作成します。続いて、既存のプロファイルの前に新しいプロファイルを挿入します。
注 - 管理コマンドを含む権利プロファイルは、一般ユーザーに割り当てないでください。一般ユーザーは大域ゾーンに入れないため、権利プロファイルは機能できません。
多くのサイトにとって、デフォルトの特権セットでは厳格さが足りません。システム上のすべての一般ユーザーに対して特権セットを制限するには、policy.conf ファイルの設定を変更します。個々のユーザーの特権セットを変更するには、「ユーザーの特権セットを制限する」を参照してください。
ユーザーのラベルのデフォルトを変更すると、label_encodings ファイルのユーザーデフォルトの例外が作成されます。
Oracle Solaris OS と同様に、ユーザーに監査クラスを割り当てると、そのユーザーの事前選択マスクが変更されます。監査の詳細については、『Oracle Solaris の管理: セキュリティーサービス』のパート VII「Oracle Solaris での監査」 and 第 22 章Trusted Extensions での監査 (概要)を参照してください。
Trusted Extensions では、ファイルはスケルトンディレクトリからアカウントの最小ラベルを含むゾーンにのみ、自動的にコピーされます。上位ラベルのゾーンで起動ファイルを使用できるようにするには、ユーザーまたは管理者が .copy_files ファイルと .link_files ファイルを作成する必要があります。
Trusted Extensions の .copy_files ファイルと .link_files ファイルは、起動ファイルをアカウントの各ラベルのホームディレクトリに自動的にコピーまたはリンクします。ユーザーが新しいラベルでワークスペースを作成するごとに、updatehome コマンドはアカウントの最小ラベルで .copy_files ファイルと .link_files ファイルの内容を読み取ります。続いてコマンドは、リストに指定されたファイルを上位ラベルのワークスペースにコピーまたはリンクします。
.copy_files ファイルは、ユーザーが別のラベルで少しだけ異なる起動ファイルを使用する場合に有効です。たとえば、ユーザーが別のラベルで異なるメールエイリアスを使用する場合は、コピーが適しています。.link_files ファイルは、起動ファイルを、そのファイルが呼び出されたすべてのラベルでまったく同じにする必要がある場合に便利です。たとえば、すべてのラベル付き印刷ジョブを 1 台のプリンタで処理する場合は、リンクが適しています。サンプルファイルについては、「Trusted Extensions のユーザーの起動ファイルを構成する」を参照してください。
次のリストに、ユーザーに上位ラベルへのコピーまたはリンクを許可する起動ファイルの例を示します。
|