JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 の管理: セキュリティーサービス     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

コンピュータシステムへのアクセスを制御する

物理的なセキュリティーの管理

ログイン制御の管理

パスワード情報の管理

パスワードの暗号化

特殊なシステムアカウント

リモートログイン

デバイスアクセスの制御

デバイスポリシー (概要)

デバイス割り当て (概要)

マシンリソースへのアクセス制御

アドレス空間レイアウトのランダム化

スーパーユーザーアクセスの制限とモニタリング

役割に基づくアクセス制御を構成してスーパーユーザーを置き換える

システムリソースの意図しない誤用の回避

PATH 変数の設定

ユーザーに制限付きシェルを割り当てる

ファイル内のデータへのアクセス制限

setuid 実行可能ファイルの制限

デフォルトでのセキュリティー強化 (Secure By Default) 構成の使用

リソース管理機能の使用

Oracle Solaris ゾーンの使用

マシンリソースの使用状況のモニタリング

ファイルの整合性のモニタリング

ファイルアクセスの制御

暗号化によるファイルの保護

アクセス制御リストの使用

マシン間でのファイルの共有

共有ファイルへの root アクセスの制限

ネットワークアクセスの制御

ネットワークセキュリティーメカニズム

リモートアクセスの認証と承認

ファイアウォールシステム

暗号化システムとファイアウォールシステム

セキュリティー問題の報告

3.  システムアクセスの制御 (タスク)

4.  ウイルススキャンサービス (タスク)

5.  デバイスアクセスの制御 (タスク)

6.  BART を使用したファイル整合性の検証 (タスク)

7.  ファイルアクセスの制御 (タスク)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割に基づくアクセス制御の使用 (タスク)

10.  Oracle Solaris のセキュリティー属性 (参照)

パート IV 暗号化サービス

11.  暗号化フレームワーク (概要)

12.  暗号化フレームワーク (タスク)

13.  鍵管理フレームワーク

パート V 認証サービスと安全な通信

14.  プラグイン可能認証モジュールの使用

15.  Secure Shell の使用

16.  Secure Shell (参照)

17.  簡易認証セキュリティー層の使用

18.  ネットワークサービスの認証 (タスク)

パート VI Kerberos サービス

19.  Kerberos サービスについて

20.  Kerberos サービスの計画

21.  Kerberos サービスの構成 (タスク)

22.  Kerberos エラーメッセージとトラブルシューティング

23.  Kerberos 主体とポリシーの管理 (タスク)

24.  Kerberos アプリケーションの使用 (タスク)

25.  Kerberos サービス (参照)

パート VII Oracle Solaris での監査

26.  監査 (概要)

27.  監査の計画

28.  監査の管理 (タスク)

29.  監査 (参照)

用語集

索引

ファイルアクセスの制御

Oracle Solaris はマルチユーザー環境です。マルチユーザー環境では、システムにログインしているすべてのユーザーが、ほかのユーザーに属しているファイルを読み取ることができます。さらに、適切なアクセス権をもっているユーザーは、ほかのユーザーに属しているファイルを使用できます。詳細は、第 7 章ファイルアクセスの制御 (タスク)を参照してください。ファイルに適切なアクセス権を設定するステップごとの手順については、「ファイルの保護 (タスク)」を参照してください。

暗号化によるファイルの保護

ほかのユーザーがアクセスできないようにすることによって、ファイルを安全に保つことができます。たとえば、600 のアクセス権を持つファイルは、その所有者と root アカウントを除き、読み取ることができません。アクセス権 700 の付いたディレクトリも同様です。ただし、ほかのだれかがユーザーパスワードや root パスワードを推測して発見すると、そのファイルにアクセスできます。さらに、アクセス不能なはずのファイルも、システムファイルのバックアップをオフラインメディアにとるたびに、バックアップテープ上に保存されます。

ZFS ファイルシステムは、ディスク上の暗号化を使用して作成できます。詳細は、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの暗号化」を参照してください。

暗号化フレームワークは、digestmac、および encrypt コマンドを提供します。通常のユーザーは、これらのコマンドを使用してファイルやディレクトリを保護することができます。詳細は、第 11 章暗号化フレームワーク (概要)を参照してください。

アクセス制御リストの使用

ACL (「アクル」と読む) では、ファイルアクセス権の制御をより強化できます。ACL は、従来の UNIX ファイル保護機能では不十分な場合に追加で使用します。従来の UNIX ファイル保護機能は、 所有者、グループ、その他のユーザーという 3 つのユーザークラスに読み取り権、書き込み権、実行権を提供します。ACL では、ファイルセキュリティーを管理するレベルがさらに詳細になります。

ACL を使用すると、次に示すような、きめ細かいファイルアクセス権を定義できます。

アクセス制御リスト (ACL) で ZFS ファイルを保護するには、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の第 7 章「ACL および属性を使用した Oracle Solaris ZFS ファイルの保護」を参照してください。従来のファイルシステム上で ACL を使用する方法については、「アクセス制御リストによる UFS ファイルの保護」を参照してください。

マシン間でのファイルの共有

ネットワークファイルサーバーは、どのファイルを共有できるかを制御できます。また、共有ファイルにアクセスできるクライアント、およびそれらのクライアントに許可するアクセス権の種類も制御します。一般に、ファイルサーバーは、すべてのクライアントまたは特定のクライアントに、読み取り権と書き込み権、または読み取り専用アクセス権を与えることができます。アクセス制御は、share コマンドでリソースを利用可能にするときに指定します。

ZFS ファイルシステムの NFS 共有を作成すると、共有を削除するまでファイルシステムは永続的に共有されます。システムをリブートすると、SMF は共有を自動的に管理します。詳細は、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「Oracle Solaris ZFS ファイルシステムと従来のファイルシステムの相違点」を参照してください。

共有ファイルへの root アクセスの制限

一般的にスーパーユーザーは、ネットワーク上で共有されるファイルシステムには root としてアクセスできません。NFS システムは、要求者のユーザーをユーザー ID 60001 を持つユーザー nobody に変更することによって、マウントされているファイルシステムへの root アクセスを防止します。ユーザー nobody のアクセス権は、公共ユーザーに与えられているアクセス権と同じです。つまり、ユーザー nobody のアクセス権は資格をもたないユーザーのものと同じです。たとえば、ファイルの実行権しか公共に許可していなければ、ユーザー nobody はそのファイルを実行することしかできません。

NFS サーバーは、共有ファイルシステムへの root アクセスをホスト単位で与えることができます。これらの特権を付与するには、share コマンドの root=hostname オプションを使用します。このオプションは慎重に使用してください。NFS でのセキュリティーオプションの説明については、『Oracle Solaris 11.1 でのネットワークファイルシステムの管理』の第 3 章「ネットワークファイルシステムへのアクセス (リファレンス)」を参照してください。

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ