ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
/dev/* デバイスから IP MIB-II 情報を取得する方法
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
デバイス割り当ては一般に、デバイスセキュリティーの追加の層が必要なサイトで実装されます。通常、割り当て可能なデバイスにアクセスするユーザーには承認が必要です。
次のタスクマップは、デバイス割り当ての有効化、構成、およびトラブルシューティングを行うための手順を示しています。デフォルトではデバイス割り当ては有効になっていません。デバイス割り当てを有効にしたあと、デバイスを割り当てるための手順について 「デバイスの割り当て (タスク)」を参照してください。
|
始める前に
Device Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# svcadm enable svc:/system/device/allocate # svcs -x allocate svc:/system/device/allocate:default (device allocation) State: online since September 10, 2011 01:10:11 PM PDT See: allocate(1) See: deallocate(1) See: list_devices(1) See: device_allocate(1M) See: mkdevalloc(1M) See: mkdevmaps(1M) See: dminfo(1M) See: device_maps(4) See: /var/svc/log/system-device-allocate:default.log Impact: None.
# svcadm disable device/allocate
始める前に
User Security 権利プロファイルが割り当てられている管理者になる必要があります。権利プロファイルには、solaris.auth.delegate 承認が含まれている必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
一般には、solaris.device.allocate 承認を含む権利プロファイルを作成します。「権利プロファイルを作成する方法」の説明に従って操作してください。権利プロファイルに、次に示すような適切なプロパティーを指定します。
権利プロファイル名: Device Allocation
付与される承認: solaris.device.allocate
特権を持つコマンド: sys_mount 特権を持つ mount、および sys_mount 特権を持つ umount
「役割を作成する方法」の手順に従います。次に示す役割プロパティーを参考にしてください。
役割名: devicealloc
役割の完全名: Device Allocator
役割の説明: Allocates and mounts allocated devices
権利プロファイル: Device Allocation
この権利プロファイルは、この役割に含まれているプロファイルのリストの先頭に存在する必要があります。
リムーバブルメディアの割り当て例は、「デバイスを割り当てる方法」を参照してください。
始める前に
「デバイス割り当てを有効にする方法」を完了している必要があります。
Device Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# list_devices device-name
device-name は次のいずれかです。
audio[n] – マイクとスピーカーです。
fd[n] – フロッピーディスクドライブです。
rmdisk[n] – リムーバブルメディアデバイスです (USB など)。
sr[n] – CD-ROM ドライブです。
st[n] – テープドライブです。
注意事項
list_devices コマンドが次のようなエラーメッセージを返す場合は、デバイス割り当てが有効になっていないか、情報を取得するために必要なアクセス権がありません。
list_devices: No device maps file entry for specified device.
コマンドを実行するには、デバイス割り当てを有効にし、solaris.device.revoke 承認のある役割になります。
強制的な割り当ては、誰かがデバイスの割り当て解除を忘れた場合や、デバイスをただちに使用する必要がある場合などに行います。
始める前に
solaris.device.revoke 承認が割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
$ auths solaris.device.allocate solaris.device.revoke
この例では、USB ドライブがユーザー jdoe に強制的割り当てられます。
$ allocate -U jdoe
ユーザーが割り当てたデバイスは、プロセスの終了時やそのユーザーのログアウトの際に自動的に割り当てが解除されることはありません。強制的な割り当て解除は、ユーザーがデバイスの割り当てを解除することを忘れた場合に行います。
始める前に
solaris.device.revoke 承認が割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
$ auths solaris.device.allocate solaris.device.revoke
この例では、プリンタの割り当てが強制的に解除されます。現在、このプリンタはほかのユーザーが割り当てを行える状態にあります。
$ deallocate -f /dev/lp/printer-1
始める前に
この作業を行うには、デバイス割り当てが有効になっていなければなりません。デバイス割り当てを有効にするには、「デバイス割り当てを有効にする方法」を参照してください。root 役割になる必要があります。
device_allocate ファイルのデバイスエントリにある 5 つ目のフィールドを変更します。
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
solaris.device.allocate は、デバイスの使用に solaris.device.allocate 承認が必要であることを示します。
例 5-2 任意のユーザーによるデバイス割り当てを許可する
次の例では、システム上のどのユーザーも任意のデバイスを割り当てることができます。device_allocate ファイルの各デバイスエントリ内にある 5 番目のフィールドは、単価記号 (@) に変更されました。
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean …
例 5-3 一部の周辺機器の使用を防止する
次の例では、オーディオデバイスの使用が禁止されています。device_allocate ファイルのオーディオデバイスエントリにある 5 番目のフィールドは、アスタリスク (*) に変更されました。
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean …
例 5-4 すべての周辺機器の使用を防止する
次の例では、使用できる周辺機器はありません。device_allocate ファイルの各デバイスエントリにある 5 番目のフィールドは、アスタリスク (*) に変更されました。
# pfedit /etc/security/device_allocate audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean …
デフォルトでは、デバイス割り当てコマンドは、監査クラス other の状態です。
始める前に
Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
$ auditconfig -getflags current-flags $ auditconfig -setflags current-flags,ot
詳細な手順については、「監査クラスを事前選択する方法」を参照してください。