ファイルシステムおよびファイルの保護

ZFS ファイルシステムは軽量であり、予約された容量およびディスク容量の制限による暗号化、圧縮、および構成が可能です。

tmpfs ファイルシステムは際限なく増大する可能性があります。サービスの拒否 (DOS) 攻撃を防ぐには、「tmpfs ファイルシステムのサイズを制限する方法」を実行します。

次のタスクでは、tmpfs のサイズ制限を構成し、ZFS (Oracle Solaris のデフォルトのファイルシステム) で利用できる保護について簡単に説明します。詳細は、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS の割り当て制限と予約を設定する」および zfs(1M) のマニュアルページを参照してください。

タスク	説明	参照先
ディスク容量を管理および予約することによって、DOS 攻撃を回避します。	ファイルシステム、ユーザーまたはグループ、またはプロジェクト別にディスク容量の使用を指定します。	『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS の割り当て制限と予約を設定する」
最小のディスク容量をデータセットおよびその子孫に保証します。	ファイルシステム別、ユーザーまたはグループ別、またはプロジェクト別にディスク容量を保証します。	『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS ファイルシステムに予約を設定する」
ファイルシステム上のデータを暗号化します。	データセット作成時にデータセットにアクセスするために、暗号化およびパスフレーズでデータセットを保護します。	『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの暗号化」『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS ファイルシステムを暗号化する例」
標準 UNIX ファイルのアクセス権よりも細かい粒度でファイルを保護するように ACL を指定します。	拡張されたセキュリティー属性がファイルの保護に役立つことがあります。 ACL の使用上の注意については、Hiding Within the Trees を参照してください。	ZFS End-to-End Data Integrity
`tmpfs` ファイルシステムのサイズを制限します。	悪意のあるユーザーが `/tmp` 内に大規模なファイルを作成してシステムの処理速度を低下させることを防ぎます。	「`tmpfs` ファイルシステムのサイズを制限する方法」

`tmpfs` ファイルシステムのサイズを制限する方法

tmpfs ファイルシステムのサイズは、デフォルトでは無制限です。そのため、tmpfs が増大して、使用可能なシステムメモリーやスワップがいっぱいになる可能性があります。/tmp ディレクトリはすべてのアプリケーションおよびユーザーによって使用されるため、使用可能なすべてのシステムメモリーが 1 つのアプリケーションに占有される可能性があります。同様に、悪意のある非特権ユーザーが /tmp ディレクトリ内に大規模ファイルを作成することによって、システムの処理速度が低下する可能性があります。パフォーマンスへの影響を避けるために、それぞれの tmpfs マウントのサイズを制限できます。

最良のシステムパフォーマンスを実現するために、いくつかの値を試してみることをお勧めします。

始める前に

root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

システムのメモリー量を調べます。
注 - この手順の例に使用される SPARC T3 シリーズシステムには、入出力をより高速にするためのソリッドステートディスク (ssd) が 1 つと、279.40M バイトのディスクが 8 つ搭載されています。このシステムにはおよそ 500G バイトのメモリーがあります。
```
# prtconf | head
System Configuration:  Oracle Corporation  sun4v
Memory size: 523776 Megabytes
System Peripherals (Software Nodes):

ORCL,SPARC-T3-4
    scsi_vhci, instance #0
        disk, instance #4
        disk, instance #5
        disk, instance #6
        disk, instance #8
```
tmpfs のメモリー制限を計算します。
システムメモリーのサイズに応じて、大規模システムではおよそ 20 パーセント、小規模システムではおよそ 30 パーセントのメモリー制限を計算することをお勧めします。
したがって、小規模システムでは、乗数として .30 を使用します。
```
10240M x .30 ≃ 340M
```
大規模システムでは、乗数として .20 を使用します。
```
523776M x .20 ≃ 10475M
```

サイズ制限を使って /etc/vfstab ファイルにある swap エントリを変更します。

# pfedit /etc/vfstab
#device       device       mount           FS      fsck    mount mount
#to mount     to fsck      point           type    pass    at boot options
#
/devices      -            /devices        devfs   -       no      -
/proc         -            /proc           proc    -       no      -
ctfs          -            /system/contract ctfs   -       no      -
objfs         -            /system/object  objfs   -       no      -
sharefs       -            /etc/dfs/sharetab  sharefs -    no      -
fd            -            /dev/fd         fd      -       no      -
swap          -            /tmp            tmpfs   -       yes     -
swap          -            tmpfs           -       yes     size=10400m
/dev/zvol/dsk/rpool/swap   -      -        swap    -       no      -

システムをリブートします。
```
# reboot
```

サイズ制限が有効であることを確認します。

# mount -v
swap on /system/volatile type tmpfs 
read/write/setuid/devices/rstchown/xattr/dev=89c0006 on Fri Sep 7 14:07:27 2012
swap on /tmp type tmpfs 
read/write/setuid/devices/rstchown/xattr/size=10400m/dev=89c0006 on Fri ...

メモリー使用量をモニターし、サイトの要件に合わせて調整します。
df コマンドは多少役に立ちます。swap コマンドを使用すると、もっとも役立つ統計を得られます。
```
# df -h /tmp
Filesystem Size Used Available Capacity Mounted on
swap          7.  4G     44M    7.4G 1%       /tmp

# swap -s
total: 190248k bytes allocated + 30348k reserved = 220596k used,
7743780k available 
```
詳細は、tmpfs(7FS)、mount_tmpfs(1M)、df(1M)、および swap(1M) のマニュアルページを参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11.1 Information Library (日本語)

ファイルシステムおよびファイルの保護

tmpfs ファイルシステムのサイズを制限する方法

`tmpfs` ファイルシステムのサイズを制限する方法