ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーガイドライン Oracle Solaris 11.1 Information Library (日本語) |
次のタスクがもっとも多く順番に実行されています。この時点で、Oracle Solaris OS がインストールされ、root 役割になることができる初期ユーザーのみがシステムにアクセスできます。
|
インストール直後に、パッケージを検証することによってインストールを検証します。
始める前に
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
レコードを保存するには、コマンド出力をファイルに送信します。
# pkg verify > /var/pkgverifylog
参照
詳細については、pkg(1) および pkg(5) のマニュアルページを参照してください。マニュアルページには、pkg verify コマンドの使用例が記載されています。
この手順を使用して、システムの目的に応じて必要がないサービスを無効にします。
始める前に
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
たとえば、システムが NFS サーバーや Web サーバーではなく、サービスがオンラインである場合は、これを無効にします。
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
参照
詳細は、『Oracle Solaris 11.1 でのサービスと障害の管理』の第 1 章「サービスの管理 (概要)」および svcs(1) のマニュアルページを参照してください。
この手順を使用して、このシステムのユーザーがシステムを保存停止したり、電源を切ったりすることを回避します。
始める前に
root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
手順については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「権利プロファイルを作成する方法」を参照してください。
#CONSOLE_USER=Console User
# usermod -P +new-profile username
参照
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「policy.conf ファイル」、および policy.conf(4) と usermod(1M) のマニュアルページを参照してください。
この手順を使用して、サイトのセキュリティーポリシーが反映されたセキュリティーメッセージを 2 つのバナーファイル内に作成します。これらのバナーファイルの内容は、ローカルおよびリモートのログイン時に表示されます。
注 - この手順のサンプルメッセージは、アメリカ合衆国政府の要件を満たしておらず、ユーザーのセキュリティーポリシーも満たしていない可能性があります。ベストプラクティスは、セキュリティーメッセージの内容について会社の弁護士に相談することです。
始める前に
Administrator Message Edit 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
telnet および FTP サービスの場合と同様に、認証前に、login コマンドによって /etc/issue の内容が表示されます。ほかのアプリケーションでこのファイルを使用できるようにする場合は、「ssh ユーザーにセキュリティーメッセージを表示する方法」および 「セキュリティーメッセージをデスクトップログイン画面に配置する方法」を参照してください。
詳細は、issue(4) と pfedit(1M) のマニュアルページを参照してください。
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
Oracle Solaris では、ユーザーの初期シェルによって /etc/motd ファイルの内容が表示されます。
ユーザーがログイン時に確認するセキュリティーメッセージを作成する方法を複数の中から選択します。
詳細を表示するには、デスクトップ上で「システム」→「ヘルプ」メニューをクリックして GNOME ヘルプブラウザを起動してください。yelp コマンドを使用することもできます。デスクトップログインスクリプトについては、gdm(1M) のマニュアルページの「GDM Login Scripts and Session Files」のセクションを参照してください。
注 - この手順のサンプルメッセージは、アメリカ合衆国政府の要件を満たしておらず、ユーザーのセキュリティーポリシーも満たしていない可能性があります。ベストプラクティスは、セキュリティーメッセージの内容について会社の弁護士に相談することです。
始める前に
ファイルを作成するには、root 役割になる必要があります。既存のファイルを変更するには、solaris.admin.edit/path-to-existing-file 承認が割り当てられている管理者になる必要があります。
ダイアログボックスを作成するオプションでは、「バナーファイルにセキュリティーメッセージを配置する方法」の手順 1 で作成した /etc/issue ファイル内のセキュリティーメッセージを使用できます。
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
ユーザーは、ログインウィンドウでの認証後にワークスペースに移動するには、このダイアログボックスを閉じる必要があります。zenity コマンドのオプションについては、zenity(1) のマニュアルページを参照してください。
/etc/gdm ディレクトリには、デスクトップログインの前、間、または直後にセキュリティーメッセージを表示するための 3 つの初期化スクリプトが含まれています。これらのスクリプトは、Oracle Solaris 10 リリースでも利用可能です。
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
システムファイルを root 以外のユーザーとして編集する方法については、pfedit(1M) のマニュアルページを参照してください。
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
注 - このダイアログボックスは、ユーザーのワークスペース内のウィンドウの下に隠れることがあります。
メッセージに合わせてログインウィンドウが拡大されます。この方法では、/etc/issue ファイルを指定しません。GUI にテキストを入力する必要があります。
注 - ログインウィンドウ (gdm-greeter-login-window.ui) が pkg fix コマンドと pkg update コマンドによって上書きされます。変更を保持するには、このファイルを構成ファイルディレクトリにコピーし、システムをアップグレードしたあとで、その変更を新しいファイルにマージします。詳細は、pkg(5) のマニュアルページを参照してください。
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
glade-3 プログラムによって GTK+ インタフェースデザイナが開きます。ユーザー入力フィールドの上に表示されるラベルにセキュリティーメッセージを入力します。
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
インタフェースデザイナのガイドを確認するには、GNOME ヘルプブラウザで「開発」をクリックしてください。glade-3(1) のマニュアルページは、マニュアルページの「アプリケーション」の下に表示されます。
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
例 2-1 デスクトップログイン時の短い警告メッセージの作成
この例では、デスクトップファイル内の zenity コマンドへの引数として管理者が短いメッセージを入力します。管理者は、--warning オプションを使用してメッセージとともに警告アイコンも表示します。
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application