ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

Trusted Extensions でのリモート管理

リモート管理には重大なセキュリティーリスクが伴います。信頼できないシステム上のユーザーからのリモート管理では特にそうです。デフォルトの Trusted Extensions では、どのシステムからもリモート管理は行えません。

ネットワークが構成されるまでは、すべてのリモートホストに admin_low セキュリティーテンプレートが割り当てられます。つまり、それらのホストはラベルなしホストとして認識されます。ラベル付きゾーンが構成されるまで、使用可能なゾーンは大域ゾーンだけになります。Trusted Extensions では、大域ゾーンが管理ゾーンです。これにアクセスできるのは役割だけです。具体的には、大域ゾーンに到達するには、アカウントに ADMIN_LOW から ADMIN_HIGH のラベル範囲が含まれている必要があります。

この初期状態の間、Trusted Extensions システムは複数のメカニズムによってリモート攻撃から保護されています。それらのメカニズムには、netservices の値、デフォルトの ssh ポリシー、デフォルトのログインポリシー、デフォルトの PAM ポリシーなどがあります。

• インストール時には、Secure Shell 以外のリモートサービスは有効化されず、ネットワーク上で待機しません。

  ただし、ssh ポリシー、ログインポリシー、および PAM ポリシーが存在しているため、root や役割が ssh サービスを使用してリモートログインを行うことはできません。

• root は役割であるため、root アカウントを使用してリモートログインを行うことはできません。PAM の制限により、役割はログインできません。

  root をユーザーアカウントに変更しても、デフォルトのログインポリシーと ssh ポリシーにより、root ユーザーによるリモートログインは禁止されます。

• 2 つのデフォルトの PAM 値によってリモートログインが禁止されます。

  pam_roles モジュールは、アカウントタイプ role からのローカルログインとリモートログインを拒否します。

  Trusted Extensions PAM モジュール pam_tsol_account は、CIPSO プロトコルを使用しないかぎり、大域ゾーンへのリモートログインを拒否します。このポリシーの目的は、ほかの Trusted Extensions システムを使用してリモート管理を実行できるようにすることです。

このため、Oracle Solaris システムの場合と同様に、リモート管理を構成する必要があります。Trusted Extensions では、大域ゾーンへの到達に必要なラベル範囲と pam_tsol_account モジュールという、2 つの構成要件が追加されます。