ネットワークセキュリティーの計画

Solaris 10 11/06 リリース以降では、初期インストール中に、Secure Shell を除くすべてのネットワークサービスが無効になるか、またはローカルリクエストへの応答のみに制限されるように、ネットワークセキュリティー設定を変更できます。このオプションを使用すると、リモートの攻撃者から攻撃や侵入を受ける可能性を最小限に抑えることができます。また、このオプションを利用することで、必要なサービスだけを有効にできます。このセキュリティーオプションを使用できるのは初期インストールのときだけで、アップグレード時には使用できません。アップグレードでは、以前に設定されたすべてのサービスの設定内容が保持されます。ただし netservices コマンドを使用すれば、必要に応じてアップグレード後にネットワークサービスを制限することができます。

使用しているインストールプログラムに応じて、ネットワークサービスを制限するか、サービスをデフォルトで有効にするかを選択できます。

• Oracle Solaris 対話式インストールの場合は、以前の Oracle Solaris リリースのように、ネットワークサービスをデフォルトで有効にするオプションを選択できます。また、ネットワークサービスを制限するオプションを選択することもできます。対話式インストールの詳細な説明については、『Oracle Solaris 10 1/13 インストールガイド: 基本インストール』の第 2 章「Oracle Solaris インストールプログラムによる UFS ファイルシステム用のインストール (タスク)」を参照してください。

• JumpStart インストールの場合は、sysidcfg ファイル内で新しいキーワード service_profile を使用すると、このセキュリティー制限を設定できます。このキーワードの詳細は、『Oracle Solaris 10 1/13 インストールガイド: ネットワークベースのインストール』の「service_profile キーワード」を参照してください。

制限されたセキュリティーの仕様

ネットワークのセキュリティーを制限する場合、多数のサービスが完全に無効になります。その他のサービスは引き続き有効ですが、ローカル接続のみに制限されます。Secure Shell は、完全に有効なままです。

次の表に、Solaris 10 11/06 リリースでローカル接続に制限されているネットワークサービスを示します。

表 3-4 Solaris 10 11/06 SMF で制限されているサービス

インストール後のセキュリティー設定の修正

制限されたネットワークセキュリティー機能を使用する場合、影響を受けるすべてのサービスが Service Management Framework (SMF) により制御されます。初期インストールの実行後に、svcadm および svccfg コマンドを使って任意のネットワークサービスを個別に有効にできます。

制限されたネットワークアクセスは、/var/svc/profile 内にある SMF アップグレードファイルから netservices コマンドを呼び出すことで実現されます。netservices コマンドを使用して、サービスの起動動作を切り替えることができます。

ネットワークサービスを手動で無効にする場合は、次のコマンドを実行します。

# netservices limited

このコマンドは、デフォルトでは変更が行われないアップグレードされたシステム上で使用できます。このコマンドは、サービスを個別に有効にした後で制限された状態に戻す場合にも使用できます。

同様に、次のコマンドを実行することによって、以前の Oracle Solaris リリースと同様にデフォルトのサービスを有効にできます。

# netservices open

セキュリティー設定の修正の詳細は、『Oracle Solaris の管理: 基本管理』の「SMF プロファイルを作成する方法」を参照してください。また、次のマニュアルページも参照してください。

• netservices(1M)

• svcadm(1M)

• svccfg(1M)