ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
Trusted Extensions 管理者としての作業の開始 (タスクマップ)
Trusted Extensions の大域ゾーンを終了する
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
次のタスクマップでは、Trusted Extensions での一般的な管理手順について説明します。
|
Trusted Extensions には、パスワードを変更するための GUI が用意されています。
手順については、「Trusted Extensions の大域ゾーンに入る」を参照してください。
ゾーンごとに異なるパスワードが作成されている場合は、メニューに「Change Workspace Password」と表示されます。
次の場合は、ラベル付きゾーンをリブートする必要があります。
1 人以上のローカルユーザーがパスワードを変更した。
ネームサービスキャッシュデーモン (nscd) の単一インスタンスをすべてのゾーンが使用している。
システムが LDAP ではなくファイルで管理されている。
始める前に
Zone Security 権利プロファイルが割り当てられている必要があります。
次のいずれかの方法を使用します。
# txzonemgr &
Labeled Zone Manager でラベル付きゾーンに移動し、コマンドの一覧から、「停止」を選択したあと「ブート」を選択します。
システムのシャットダウンまたは停止を選択できます。
zlogin コマンドは、ゾーンを正常にシャットダウンします。
# zlogin labeled-zone shutdown -i 0 # zoneadm -z labeled-zone boot
halt サブコマンドは、シャットダウンスクリプトを無視します。
# zoneadm -z labeled-zone halt # zoneadm -z labeled-zone boot
注意事項
ラベル付きゾーンのユーザーパスワードを自動的に更新するには、LDAP を構成するか、ゾーンごとにネームサービスを 1 つずつ構成する必要があります。その両方を構成することもできます。
LDAP を構成するには、第 5 章Trusted Extensions のための LDAP の構成 (タスク)を参照してください。
ゾーンごとにネームサービスを 1 つずつ構成するには、高度なネットワークスキルが必要となります。手順については、「ラベル付きゾーンごとに異なるネームサービスを構成する」を参照してください。
「セキュアアテンション」キーの組み合わせは、信頼できないアプリケーションによるポインタグラブやキーボードグラブを解除するために使用できます。また、このキーの組み合わせは、ポインタまたはキーボードが信頼できるアプリケーションによってグラブされているかどうかを確認するためにも使用できます。複数のトラステッドストライプを表示するようにスプーフィングされているマルチヘッドシステムでは、このキーの組み合わせにより、ポインタは承認されているトラステッドストライプに移動します。
キーを同時に押して、現在のデスクトップのフォーカスへの制御を取り戻します。Sun 製キーボードでは、ダイヤモンドマークの付いたキーが Meta キーです。
<Meta> <Stop>
ポインタなどのグラブが信頼できない場合は、このポインタはストライプに移動します。信頼できるポインタはトラステッドストライプには移動しません。
<Alt> <Break>
キーを同時に押して、ラップトップコンピュータ上で現在のデスクトップのフォーカスへの制御を取り戻します。
例 9-1 パスワードのプロンプトが信頼できるかどうかテストする
Sun 製キーボードを使用している x86 システム上で、ユーザーがパスワードの入力を求められたとします。カーソルはグラブされた状態になり、パスワード入力ダイアログボックスの中にあります。プロンプトが信頼できることを確認するために、ユーザーは <Meta> <Stop> キーを同時に押します。ポインタがダイアログボックスの中に残っているときに、ユーザーはパスワードプロンプトが信頼できることを認識します。
ポインタがトラステッドストライプに移動していた場合は、ユーザーはパスワードプロンプトが信頼できないことがわかるので、管理者に連絡します。
例 9-2 ポインタを強制的にトラステッドストライプに移動させる
この例では、ユーザーはトラステッドプロセスを実行していませんが、マウスポインタを確認できません。ポインタをトラステッドストライプの中央に移動させるために、ユーザーは <Meta> <Stop> キーを同時に押します。
この手順では、ラベルの内部 16 進形式について説明します。この形式は、公共ディレクトリでの格納に安全です。詳細は、atohexlabel(1M) のマニュアルページを参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY" 0x0004-08-48
文字列では大文字と小文字は区別されませんが、空白は正確でなければいけません。たとえば、次の引用符付き文字列では、16 進値のラベルが返されます。
"CONFIDENTIAL : INTERNAL USE ONLY"
"cnf : Internal"
"confidential : internal"
次の引用符付き文字列では、解析エラーが返されます。
"confidential:internal"
"confidential: internal"
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
注 - 可読式の機密ラベルと認可上限ラベルは label_encodings ファイルの中のルールに従って形成されます。各ラベルタイプでは、このファイルの別々のセクションにあるルールを使用します。機密ラベルと認可上限ラベルの両方が根本的に同じレベルの機密性を表している場合は、両方のラベルはまったく同じ 16 進形式になります。ただし、両ラベルの可読形式は異なることがあります。可読形式のラベルを入力として受け入れるシステムインタフェースは、1 つのタイプのラベルを想定しています。ラベルタイプの文字列が異なっている場合、これらの文字列は相互に利用することはできません。
label_encodings ファイルでは、認可上限ラベルと同等のテキストにコロン (:) は含まれません。
例 9-3 atohexlabel コマンドの使用法
有効なラベルを 16 進形式で渡すと、コマンドは次のように引数を返します。
$ atohexlabel 0x0004-08-68 0x0004-08-68
管理ラベルを渡すと、コマンドは次のように引数を返します。
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
注意事項
atohexlabel parsing error found in <string> at position 0 というエラーメッセージは、atohexlabel に渡した <string> 引数が有効なラベルまたは認可上限でないことを意味しています。入力を確認し、インストールした label_encodings ファイルにラベルが存在していることを確認します。
この手順では、内部データベースに格納されているラベルを確認する方法について説明します。詳細は、hextoalabel(1M) のマニュアルページを参照してください。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
セキュリティー値は、/etc/security ディレクトリと /etc/default ディレクトリにあるファイルに記述されています。詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の第 3 章「システムアクセスの制御 (タスク)」を参照してください。
注意 - システムのセキュリティーデフォルトを変更するのは、サイトのセキュリティーポリシーで許可されている場合のみにしてください。 |
始める前に
大域ゾーンにいて、solaris.admin.edit/ filename 承認が割り当てられています。デフォルトでは、root 役割にこの承認が含まれています。
次の表に、セキュリティーファイルと各ファイル内で変更可能なセキュリティー値の一覧を示します。最初の 2 つのファイルは、Trusted Extensions に固有のものです。
|