JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11 セキュリティーガイドライン     Oracle Solaris 11.1 Information Library (日本語)
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Oracle Solaris セキュリティーの概要

2.  Oracle Solaris セキュリティーの構成

Oracle Solaris OS のインストール

システムのセキュリティー保護

パッケージの検証方法

不要なサービスを無効にする方法

ユーザーから電源管理機能を削除する方法

バナーファイルにセキュリティーメッセージを配置する方法

セキュリティーメッセージをデスクトップログイン画面に配置する方法

ユーザーのセキュリティー保護

より強力なパスワード制約を設定する方法

標準ユーザーに対してアカウントロックを設定する方法

標準ユーザーに対してより制限された umask 値を設定する方法

ログイン/ログアウトに加えて重要なイベントを監査する方法

リアルタイムで lo イベントをモニターする方法

ユーザーから不要な基本特権を削除する方法

カーネルのセキュリティー保護

ネットワークの構成

ssh ユーザーにセキュリティーメッセージを表示する方法

TCP ラッパーの使用方法

ファイルシステムおよびファイルの保護

tmpfs ファイルシステムのサイズを制限する方法

ファイルの保護と変更

アプリケーションおよびサービスのセキュリティー保護

重要なアプリケーションを含むゾーンの作成

ゾーンのリソースの管理

IPsec および IKE の構成

IP フィルタの構成

Kerberos の構成

レガシーサービスへの SMF の追加

システムの BART スナップショットの作成

マルチレベル (ラベル付き) セキュリティーの追加

Trusted Extensions の構成

ラベル付き IPsec の構成

3.  Oracle Solaris セキュリティーのモニタリングと保守

A.  Oracle Solaris の文献目録

ユーザーのセキュリティー保護

この時点で、root 役割を引き受けることができる初期ユーザーのみがシステムにアクセスできます。標準ユーザーがログインする前に、次のタスクがもっとも多く順番に実行されています。

タスク
説明
参照先
強固なパスワードおよび頻繁なパスワード変更を要求します。
各システムでデフォルトのパスワード制約を強化します。
標準ユーザーに対して制限されたファイルアクセス権を構成します。
標準ユーザーに対するファイルアクセス権に 022 よりも制限された値を設定します。
標準ユーザーに対してアカウントロックを設定します。
管理で使用されていないシステムで、アカウントロックをシステム全体に設定し、ロックをアクティブにするログインの数を削減します。
追加の監査クラスを事前に選択します。
システムへの潜在的な脅威のモニタリングと記録をより適切に行います。
監査イベントのテキスト概要を syslog ユーティリティーに送信します。
ログインや試みられたログインなどの重要な監査イベントのカバレージをリアルタイムで提供します。
役割を作成します。
どのユーザーもシステムを損傷できないように、個別の管理タスクを複数の信頼できるユーザーに配布します。
表示できる GNOME デスクトップアプリケーションの数を減らします。
セキュリティーに影響を及ぼす可能性のあるデスクトップアプリケーションをユーザーが使用できないようにします。
ユーザーの特権を制限します。
ユーザーが必要としない基本特権を削除します。

より強力なパスワード制約を設定する方法

デフォルトがサイトのセキュリティー要件を満たさない場合に、この手順を使用します。このステップは、/etc/default/passwd ファイルのエントリ一覧に従います。

始める前に

デフォルトを変更する前に、変更によってすべてのユーザーがアプリケーションおよびネットワーク上の他のシステムへの認証を行うことができることを確認します。

root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

参照

標準ユーザーに対してアカウントロックを設定する方法

この手順を使用して、特定の数のログイン試行に失敗したあとに通常ユーザーアカウントをロックします。


注 - 役割をロック解除できるため、役割を引き受けることができるユーザーのアカウントロックを設定しないでください。


始める前に

管理アクティビティーで使用されるシステムでは、この保護をシステム全体に設定しないでください。

root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. LOCK_AFTER_RETRIES セキュリティー属性を YES に設定します。
    • システム全体に設定します。
      # pfedit /etc/security/policy.conf
      ...
      #LOCK_AFTER_RETRIES=NO
      LOCK_AFTER_RETRIES=YES
      ...
    • ユーザーごとに設定します。
      # usermod -K lock_after_retries=yes username
  2. RETRIES セキュリティー属性を 3 に設定します。
    # pfedit /etc/default/login
    ...
    #RETRIES=5
    RETRIES=3
    ...

参照

標準ユーザーに対してより制限された umask 値を設定する方法

デフォルトの umask022 では十分に制限されない場合は、この手順を使用して、より制限されたマスクを設定します。

始める前に

root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

参照

詳細については、次を参照してください。

ログイン/ログアウトに加えて重要なイベントを監査する方法

この手順を使用して、管理コマンド、システムに侵入する試み、およびサイトのセキュリティーポリシーで指定されたその他の重要なイベントを監査します。


注 - この手順の例では、セキュリティーポリシーを満たすほど十分でない場合があります。


始める前に

root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. ユーザーおよび役割による特権コマンドのすべての使用を監査します。

    すべてのユーザーおよび役割に対して、AUE_PFEXEC 監査イベントを事前に選択したマスクに追加します。

    # usermod -K audit_flags=lo,ps:no username
    # rolemod -K audit_flags=lo,ps:no rolename
  2. 監査されるコマンドへの引数を記録します。
    # auditconfig -setpolicy +argv
  3. 監査されるコマンドが実行される環境を記録します。
    # auditconfig -setpolicy +arge

参照

リアルタイムで lo イベントをモニターする方法

この手順を使用して、発生時にモニターするイベントについて audit_syslog プラグインをアクティブにします。

始める前に

syslog.conf ファイルを変更するには、root 役割になる必要があります。その他のステップでは、監査構成権利プロファイルが割り当てられる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. lo クラスを audit_syslog プラグインに送信し、プラグインをアクティブにします。
    # auditconfig -setplugin audit_syslog active p_flags=lo
  2. どの system-log サービスインスタンスがオンラインかを決定します。
    # svcs system-log
    STATE          STIME    FMRI
    disabled       13:11:55 svc:/system/system-log:rsyslog
    online         13:13:27 svc:/system/system-log:default

    ヒント - rsyslog サービスインスタンスがオンラインの場合は、rsyslog.conf ファイルを変更します。


  3. syslog.conf ファイルに audit.notice エントリを追加します。

    デフォルトエントリには、ログファイルの場所が含まれています。

    # cat /etc/syslog.conf
    …
    audit.notice       /var/adm/auditlog
  4. ログファイルを作成します。
    # touch /var/adm/auditlog
  5. system-log サービスの構成情報をリフレッシュします。
    # svcadm refresh system-log:default

    注 - rsyslog サービスがオンラインの場合は、system-log:rsyslog サービスインスタンスをリフレッシュします。


  6. 監査サービスをリフレッシュします。

    リフレッシュ時に、監査サービスによって変更が監査プラグインに読み込まれます。

    # audit -s

参照

ユーザーから不要な基本特権を削除する方法

特定の状況では、3 つの基本特権のうち 1 つ以上を標準ユーザーの基本セットから削除できます。

始める前に

root 役割になる必要があります。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. ユーザーが所有していないファイルへのリンクを作成できないようにします。
    # usermod -K 'defaultpriv=basic,!file_link_any' user
  2. ユーザーが所有していないプロセスを調査できないようにします。
    # usermod -K 'defaultpriv=basic,!proc_info' user
  3. ユーザーが現在のセッションから 2 番目のセッション (ssh セッションなど) を開始できないようにします。
    # usermod -K 'defaultpriv=basic,!proc_session' user
  4. ユーザーの基本セットから 3 つの特権をすべて削除します。
    # usermod -K 'defaultpriv=basic,!file_link_any,!proc_info,!proc_session' user

参照

詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 8 章「役割と特権の使用 (概要)」および privileges(5) のマニュアルページを参照してください。