ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
Trusted Extensions で IPv6 CIPSO ネットワークを構成する方法
デフォルトの Trusted Extensions システムを作成する
Trusted Extensions でのネットワークインタフェースの構成
Trusted Extensions システムをほかの Trusted Extensions システムに接続する
Trusted Extensions での役割とユーザーの作成
Trusted Extensions でセキュリティー管理者役割を作成する
Trusted Extensions で役割になれるユーザーを作成する
Trusted Extensions での集中管理ホームディレクトリの作成
Trusted Extensions でホームディレクトリサーバーを作成する
各 NFS サーバーにログインすることでユーザーがすべてのラベルでリモートホームディレクトリにアクセスできるようにする
各サーバーでオートマウンタを構成することでユーザーがリモートホームディレクトリにアクセスできるようにする
Trusted Extensions の構成のトラブルシューティング
Trusted Extensions でファイルをポータブルメディアにコピーする
Trusted Extensions でポータブルメディアからファイルをコピーする
Trusted Extensions をシステムから削除する
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions での役割作成は、Oracle Solaris での役割作成と同じです。ただし、評価された構成ではセキュリティー管理者役割が必要となります。
|
始める前に
大域ゾーンで root 役割になっています。
コマンドの詳細については、roleadd(1M) のマニュアルページを参照してください。
次の情報を参考にしてください。
「役割名」– secadmin
-c Local Security Officer
専有情報は入力しないでください。
-m home-directory
-u role-UID
-S repository
-K key=value
Information Security および User Security 権利プロファイルを割り当てます。
注 - 管理役割の場合は必ず、ラベル範囲で管理ラベルを使用し、pfexec コマンドの使用を監査し、lock_after_retries=no を設定し、パスワードの有効期限は設定しないでください。
# roleadd -c "Local Security Officer" -m \ -u 110 -K profiles="Information Security,User Security" -S files \ -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
6 文字以上の英数字のパスワードを割り当てます。セキュリティー管理者役割のパスワードをはじめとするすべてのパスワードは推測されにくいようにしなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。
可能な役割は、次のとおりです。
admin 役割 – System Administrator 権利プロファイル
oper 役割 – Operator 権利プロファイル
例 4-4 LDAP でのセキュリティー管理者役割の作成
管理者は、ローカルのセキュリティー管理者役割を使用して最初のシステムを構成したあと、LDAP リポジトリ内にセキュリティー管理者役割を作成します。このシナリオでは、LDAP に定義されたセキュリティー管理者役割が LDAP クライアントを管理できます。
# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin -u 111 -K profiles="Information Security,User Security" -S ldap \ -K lock_after_retries=no -K audit_flags=lo,ex:no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
管理者は、役割の初期パスワードを指定します。
# passwd -r ldap secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
次の手順
ローカルユーザーにローカル役割を割り当てるには、「Trusted Extensions で役割になれるユーザーを作成する」を参照してください。
始める前に
大域ゾーンで root 役割になっています。
# roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\ -K profiles="System Administrator" -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin
# passwd -r files sysadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for sysadmin #
サイトのセキュリティーポリシーで許可されるなら、1 人で複数の管理役割になれるようなユーザーを作成することもできます。
セキュリティー保護されたユーザー作成を行うには、システム管理者役割がユーザーを作成して初期パスワードを割り当て、セキュリティー管理者役割が役割などのセキュリティー関連の属性を割り当てます。
始める前に
大域ゾーンで root 役割になっている必要があります。また、責務分離が実施されている場合には、セキュリティー管理者とシステム管理者というそれぞれ別の役割になれるユーザーが存在しており、彼らがそれらの役割になって、この手順の該当する部分を実行する必要があります。
root 役割とシステム管理者役割のいずれかがこの手順を実行します。
専有情報をコメント内に配置しないでください。
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
root 役割とセキュリティー管理者役割のいずれかがこの手順を実行します。
注 - 役割になれるユーザーの場合は、アカウントロックを無効にし、パスワードの有効期限は設定しません。さらに、pfexec コマンドの使用を監査します。
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
注 - idletime と idlecmd の値は、ユーザーが役割になっても引き続き有効となります。詳細については、「Trusted Extensions の policy.conf ファイルのデフォルト」を参照してください。
# passwd jdoe New Password: Type password Re-enter new Password:Retype password
注 - 初期設定チームは推測されにくいパスワードを選択しなければなりません。パスワードが推測されて、悪意のある、承認されていないアクセスが行われる危険性を減らします。
root 役割またはセキュリティー管理者役割がこの手順を実行します。
# usermod -R oper jdoe
サイトのセキュリティーポリシーを確認してから、簡易認証権利プロファイルを最初のユーザーに付与できます。このプロファイルによって、ユーザーはデバイスの割り当て、ラベルなしの印刷、リモートからのログイン、およびシステムのシャットダウンを行えます。プロファイルを作成するには、「便利な承認のための権利プロファイルを作成する」を参照してください。
「セキュリティーのためのユーザー環境のカスタマイズ (タスクマップ)」を参照してください。
マルチレベルシステムで、ほかのラベルにコピーまたはリンクするユーザー初期化ファイルをリストするファイルによって、ユーザーおよび役割を設定できます。詳細は、「.copy_files ファイルと .link_files ファイル」 を参照してください。
例 4-5 ローカルユーザーを作成するための useradd コマンドの使用
この例では、root 役割が、セキュリティー管理者役割になれるローカルユーザーを作成します。詳細は、useradd(1M) および atohexlabel(1M) のマニュアルページを参照してください。
このユーザーは、デフォルトのラベル範囲よりも広いラベル範囲を持つことになります。したがって、root 役割は、ユーザーの最下位ラベルおよび認可上限ラベルの 16 進数形式を確認します。
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
次に、root 役割は表 1-2 を確認してから、ユーザーを作成します。管理者はユーザーのホームディレクトリを、デフォルトの /export/home にではなく /export/home1 に配置します。
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
root 役割は初期パスワードを割り当てます。
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe #
最後に、root 役割は、セキュリティー管理者役割をユーザーの定義に追加します。役割は、「Trusted Extensions でセキュリティー管理者役割を作成する」で作成されました。
# usermod -R secadmin jandoe
各役割を確認するには、その役割になります。次に、その役割だけが実行できるタスクを実行し、その役割が実行を許可されていないタスクの実行を試みます。
始める前に
DNS またはルーティングを構成してある場合は、役割を作成したらリブートし、そのあとでその役割が機能することを確認してください。
次のトラステッドストライプ内では、ユーザー名は tester です。
ユーザーのプロパティーを変更するために必要となる承認については、passwd(1) のマニュアルページを参照してください。
システム管理者役割は、ユーザーを作成したり、ユーザーのログインシェルなど、solaris.user.manage 承認を必要とするユーザープロパティーを変更したりできるはずです。システム管理者役割は、solaris.account.setpolicy 承認を必要とするユーザープロパティーを変更できないはずです。
セキュリティー管理者役割は、solaris.account.setpolicy 承認を必要とするユーザープロパティーを変更できるはずです。セキュリティー管理者は、ユーザーを作成したり、ユーザーのログインシェルを変更したりできないはずです。
システムがリブートされると、デバイスと基礎のストレージとの関連付けも再設定されなければなりません。
始める前に
少なくとも 1 つのラベル付きゾーンが作成されています。システムを構成したあと、リブートしました。root 役割になれます。
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default
# svcadm restart svc:/system/zones:default
これで、一般ユーザーがログインできます。そのセッションはラベル付きゾーンです。