ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
役割に基づくアクセス制御を構成してスーパーユーザーを置き換える
デフォルトでのセキュリティー強化 (Secure By Default) 構成の使用
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
Oracle Solaris はマルチユーザー環境です。マルチユーザー環境では、システムにログインしているすべてのユーザーが、ほかのユーザーに属しているファイルを読み取ることができます。さらに、適切なアクセス権をもっているユーザーは、ほかのユーザーに属しているファイルを使用できます。詳細は、第 7 章ファイルアクセスの制御 (タスク)を参照してください。ファイルに適切なアクセス権を設定するステップごとの手順については、「ファイルの保護 (タスク)」を参照してください。
ほかのユーザーがアクセスできないようにすることによって、ファイルを安全に保つことができます。たとえば、600 のアクセス権を持つファイルは、その所有者と root アカウントを除き、読み取ることができません。アクセス権 700 の付いたディレクトリも同様です。ただし、ほかのだれかがユーザーパスワードや root パスワードを推測して発見すると、そのファイルにアクセスできます。さらに、アクセス不能なはずのファイルも、システムファイルのバックアップをオフラインメディアにとるたびに、バックアップテープ上に保存されます。
ZFS ファイルシステムは、ディスク上の暗号化を使用して作成できます。詳細は、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「ZFS ファイルシステムの暗号化」を参照してください。
暗号化フレームワークは、digest、mac、および encrypt コマンドを提供します。通常のユーザーは、これらのコマンドを使用してファイルやディレクトリを保護することができます。詳細は、第 11 章暗号化フレームワーク (概要)を参照してください。
ACL (「アクル」と読む) では、ファイルアクセス権の制御をより強化できます。ACL は、従来の UNIX ファイル保護機能では不十分な場合に追加で使用します。従来の UNIX ファイル保護機能は、 所有者、グループ、その他のユーザーという 3 つのユーザークラスに読み取り権、書き込み権、実行権を提供します。ACL では、ファイルセキュリティーを管理するレベルがさらに詳細になります。
ACL を使用すると、次に示すような、きめ細かいファイルアクセス権を定義できます。
所有者のファイルアクセス権
所有者のグループのファイルアクセス権
所有者のグループに属していないユーザーのファイルアクセス権
特定ユーザーのファイルアクセス権
特定グループのファイルアクセス権
以上のカテゴリそれぞれのデフォルトアクセス権
アクセス制御リスト (ACL) で ZFS ファイルを保護するには、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の第 7 章「ACL および属性を使用した Oracle Solaris ZFS ファイルの保護」を参照してください。従来のファイルシステム上で ACL を使用する方法については、「アクセス制御リストによる UFS ファイルの保護」を参照してください。
ネットワークファイルサーバーは、どのファイルを共有できるかを制御できます。また、共有ファイルにアクセスできるクライアント、およびそれらのクライアントに許可するアクセス権の種類も制御します。一般に、ファイルサーバーは、すべてのクライアントまたは特定のクライアントに、読み取り権と書き込み権、または読み取り専用アクセス権を与えることができます。アクセス制御は、share コマンドでリソースを利用可能にするときに指定します。
ZFS ファイルシステムの NFS 共有を作成すると、共有を削除するまでファイルシステムは永続的に共有されます。システムをリブートすると、SMF は共有を自動的に管理します。詳細は、『Oracle Solaris 11.1 の管理: ZFS ファイルシステム』の「Oracle Solaris ZFS ファイルシステムと従来のファイルシステムの相違点」を参照してください。
一般的にスーパーユーザーは、ネットワーク上で共有されるファイルシステムには root としてアクセスできません。NFS システムは、要求者のユーザーをユーザー ID 60001 を持つユーザー nobody に変更することによって、マウントされているファイルシステムへの root アクセスを防止します。ユーザー nobody のアクセス権は、公共ユーザーに与えられているアクセス権と同じです。つまり、ユーザー nobody のアクセス権は資格をもたないユーザーのものと同じです。たとえば、ファイルの実行権しか公共に許可していなければ、ユーザー nobody はそのファイルを実行することしかできません。
NFS サーバーは、共有ファイルシステムへの root アクセスをホスト単位で与えることができます。これらの特権を付与するには、share コマンドの root=hostname オプションを使用します。このオプションは慎重に使用してください。NFS でのセキュリティーオプションの説明については、『Oracle Solaris 11.1 でのネットワークファイルシステムの管理』の第 3 章「ネットワークファイルシステムへのアクセス (リファレンス)」を参照してください。