JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Solaris のシステム管理: セキュリティーサービス     Oracle Solaris 10 1/13 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

Solaris 10 リリースにおけるマシンセキュリティーの向上

コンピュータシステムへのアクセスを制御する

物理的なセキュリティーの管理

ログイン制御の管理

パスワード情報の管理

パスワードの暗号化

特殊なシステムアカウント

リモートログイン

ダイヤルアップログイン

デバイスアクセスの制御

デバイスポリシー (概要)

デバイス割り当て (概要)

マシンリソースへのアクセス制御

スーパーユーザーの制限と監視

役割に基づくアクセス制御を構成してスーパーユーザーを置き換える

マシンリソースの意図しない使用の防止

PATH 変数の設定

ユーザーに制限付きシェルを割り当てる

ファイル内のデータへのアクセス制限

setuid 実行可能ファイルの制限

自動セキュリティー拡張ツールの使用

Oracle Solaris Security Toolkit の使用

デフォルトでのセキュリティー強化 (Secure By Default) 構成の使用

リソース管理機能の使用

Oracle Solaris ゾーンの使用

マシンリソースの使用状況の監視

ファイルの整合性の監視

ファイルアクセスの制御

暗号化によるファイルの保護

アクセス制御リストの使用

マシン間でのファイルの共有

共有ファイルへの root アクセスの制限

ネットワークアクセスの制御

ネットワークセキュリティーメカニズム

リモートアクセスの認証と承認

ファイアウォールシステム

暗号化システムとファイアウォールシステム

セキュリティー問題の報告

3.  システムアクセスの制御 (タスク)

4.  デバイスアクセスの制御 (タスク)

5.  基本監査報告機能の使用方法 (タスク)

6.  ファイルアクセスの制御 (タスク)

7.  自動セキュリティー拡張ツールの使用 (タスク)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割に基づくアクセス制御の使用 (タスク)

10.  役割によるアクセス制御 (参照)

11.  特権 (タスク)

12.  特権 (参照)

パート IV 暗号化サービス

13.  Oracle Solaris の暗号化フレームワーク (概要)

14.  Oracle Solaris の暗号化フレームワーク (タスク)

15.  Oracle Solaris 鍵管理フレームワーク

パート V 認証サービスと安全な通信

16.  認証サービスの使用 (タスク)

17.  PAM の使用

18.  SASL の使用

19.  Secure Shell の使用 (タスク)

20.  Secure Shell (参照)

パート VI Kerberos サービス

21.  Kerberos サービスについて

22.  Kerberos サービスの計画

23.  Kerberos サービスの構成 (タスク)

24.  Kerberos エラーメッセージとトラブルシューティング

25.  Kerberos 主体とポリシーの管理 (タスク)

26.  Kerberos アプリケーションの使用 (タスク)

27.  Kerberos サービス (参照)

パート VII Oracle Solaris での監査

28.  Oracle Solaris 監査 (概要)

29.  Oracle Solaris 監査の計画

30.  Oracle Solaris 監査の管理 (タスク)

31.  Oracle Solaris 監査 (参照)

用語集

索引

ファイルアクセスの制御

Oracle Solaris はマルチユーザー環境です。マルチユーザー環境では、システムにログインしているすべてのユーザーが、ほかのユーザーに属しているファイルを読み取ることができます。さらに、適切なアクセス権をもっているユーザーは、ほかのユーザーに属しているファイルを使用できます。詳細は、第 6 章ファイルアクセスの制御 (タスク)を参照してください。ファイルに適切なアクセス権を設定する手順については、「ファイルの保護 (タスクマップ)」を参照してください。

暗号化によるファイルの保護

ほかのユーザーがアクセスできないようにすることによって、ファイルを安全に保つことができます。たとえば、アクセス権 600 の付いたファイルに、所有者やスーパーユーザー以外の人がアクセスすることはできません。アクセス権 700 の付いたディレクトリも同様です。ただし、ほかのだれかがユーザーパスワードや root パスワードを推測して発見すると、そのファイルにアクセスできます。さらに、アクセス不能なはずのファイルも、システムファイルのバックアップをオフラインメディアにとるたびに、バックアップテープ上に保存されます。

暗号化フレームワークには、ファイルを保護するコマンドとして、digestmac、および encrypt コマンドが用意されています。詳細は、第 13 章Oracle Solaris の暗号化フレームワーク (概要)を参照してください。

アクセス制御リストの使用

ACL (「アクル」と読む) では、ファイルアクセス権の制御をより強化できます。ACL は、従来の UNIX ファイル保護機能では不十分な場合に追加で使用します。従来の UNIX ファイル保護機能は、 所有者、グループ、その他のユーザーという 3 つのユーザークラスに読み取り権、書き込み権、実行権を提供します。ACL では、ファイルセキュリティーを管理するレベルがさらに詳細になります。

ACL では、次のファイルアクセス権を定義できます。

ACL の使用についての詳細は、「アクセス制御リストによる UFS ファイルの保護」を参照してください。

マシン間でのファイルの共有

ネットワークファイルサーバーは、どのファイルを共有できるかを制御できます。また、共有ファイルにアクセスできるクライアント、およびそれらのクライアントに許可するアクセス権の種類も制御します。一般に、ファイルサーバーは、すべてのクライアントまたは特定のクライアントに、読み取り権と書き込み権、または読み取り専用アクセス権を与えることができます。アクセス制御は、share コマンドでリソースを利用可能にするときに指定します。

ファイルサーバー上の /etc/dfs/dfstab ファイルは、サーバーがネットワーク上のクライアントに提供するファイルシステムをリストします。ファイルシステムの共有の詳細については、『System Administration Guide: Network Services』の「Automatic File System Sharing」を参照してください。

ZFS ファイルシステムの NFS 共有を作成すると、共有を削除するまでファイルシステムは永続的に共有されます。システムをリブートすると、SMF は共有を自動的に管理します。詳細は、『Oracle Solaris ZFS 管理ガイド』の「Oracle Solaris ZFS ファイルシステムと従来のファイルシステムの相違点」を参照してください。

共有ファイルへの root アクセスの制限

一般的にスーパーユーザーは、ネットワーク上で共有されるファイルシステムには root としてアクセスできません。NFS システムは、要求者のユーザーをユーザー ID 60001 を持つユーザー nobody に変更することによって、マウントされているファイルシステムへの root アクセスを防止します。ユーザー nobody のアクセス権は、公共ユーザーに与えられているアクセス権と同じです。つまり、ユーザー nobody のアクセス権は資格をもたないユーザーのものと同じです。たとえば、ファイルの実行権しか公共に許可していなければ、ユーザー nobody はそのファイルを実行することしかできません。

NFS サーバーは、共有ファイルシステムのスーパーユーザー能力をホスト単位で与えることができます。これらの特権を付与するには、share コマンドの root=hostname オプションを使用します。このオプションは慎重に使用してください。NFS のセキュリティーオプションの詳細は、『System Administration Guide: Network Services』の第 6 章「Accessing Network File Systems (Reference)」を参照してください。

Copyright © 2002, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ