Trusted Extensions の一般的なタスク (タスクマップ)

次のタスクマップでは、Trusted Extensions の管理者の作業環境を設定する手順について説明します。

トラステッドエディタとして任意のエディタを割り当てる

トラステッドエディタは、環境変数 $EDITOR の値をエディタとして使用します。

始める前に

大域ゾーンで、役割になっている必要があります。

1. $EDITOR 変数の値を確認します。

   # echo $EDITOR

   次のエディタを使用できます。$EDITOR 変数は設定されていない場合もあります。

   • /usr/dt/bin/dtpad – CDE で用意されているエディタです。

   • /usr/bin/gedit – Java Desktop System, Release number で用意されているエディタです。Solaris Trusted Extensions (JDS) はそのデスクトップのトラステッドバージョンです。

   • /usr/bin/vi – ビジュアルエディタです。

2. $EDITOR 変数の値を設定します。
   • 値を固定的に設定するには、役割のシェル初期設定ファイルで値を修正します。

     たとえば、役割のホームディレクトリで、Korn シェルについては .kshrc ファイルを、C シェルについては .cshrc ファイルを修正します。

   • 現在のシェル用に値を設定するには、端末ウィンドウで値を設定します。

     たとえば、Korn シェルでは次のコマンドを使用します。

     # setenv EDITOR=pathname-of-editor
     # export $EDITOR

     C シェルでは次のコマンドを使用します。

     # setenv EDITOR=pathname-of-editor

     Bourne シェルでは次のコマンドを使用します。

     # EDITOR=pathname-of-editor
     # export EDITOR

例 5-1 トラステッドエディタ用のエディタの指定

セキュリティー管理者役割が、システムファイルの編集に vi を使用するとします。この役割になっているユーザーが、役割のホームディレクトリにある .kshrc 初期設定ファイルを修正します。

$ cd /home/secadmin
$ vi .kshrc

## Interactive shell
set -o vi
...
export EDITOR=vi

次にどのユーザーがセキュリティー管理者役割になっても、 vi がトラステッドエディタとなります。

root ユーザーのパスワードを変更する

セキュリティー管理者役割は、Solaris 管理コンソールを使っていつでも任意のアカウントのパスワードを変更することが承認されています。ただし、Solaris 管理コンソールではシステムアカウントのパスワードは変更できません。「システムアカウント」とは、UID が 100 未満のアカウントです。root は、UID が 0 なのでシステムアカウントです。

1. スーパーユーザーになります。

   サイトでスーパーユーザーを root 役割にしている場合は、root 役割になります。

2. トラステッドパスメニューから「パスワード変更 (Change Password)」を選択します。
   • Trusted JDS で、トラステッドストライプのトラステッドシンボルをクリックします。

     トラステッドパスメニューから「パスワード変更 (Change Password)」を選択します。

     
     
   • Solaris Trusted Extensions (CDE) で、トラステッドパスメニューを開きます。
     1. ワークスペーススイッチ領域で、マウスボタン 3 をクリックします。
     2. トラステッドパスメニューから「パスワード変更 (Change Password)」を選択します。
     
     
3. パスワードを変更し、変更を確定します。

例 5-2 役割のパスワードの変更

LDAP で定義されている役割になることのできるユーザーならだれでも、トラステッドパスメニューを使用して、その役割のパスワードを変更できます。こうすると、その役割になろうとするすべてのユーザーに対して LDAP でパスワードが変更されます。

Oracle Solaris OS と同様に、プライマリ管理者役割は Solaris 管理コンソールを使用して役割のパスワードを変更できます。Trusted Extensions では、セキュリティー管理者役割は Solaris 管理コンソールを使用して別の役割のパスワードを変更できます。

デスクトップの現在のフォーカスへの制御を取り戻す

「セキュアアテンション」キーの組み合わせは、信頼できないアプリケーションによるポインタグラブやキーボードグラブを解除するために使用できます。また、このキーの組み合わせは、ポインタまたはキーボードが信頼できるアプリケーションによってグラブされているかどうかを確認するためにも使用できます。複数のトラステッドストライプを表示するようにスプーフィングされているマルチヘッドシステムでは、このキーの組み合わせにより、ポインタは承認されているトラステッドストライプに移動します。

1. Sun 製キーボードの制御を取り戻すには、次のキーの組み合わせを使用します。

   キーを同時に押して、現在のデスクトップのフォーカスへの制御を取り戻します。Sun 製キーボードでは、ダイヤモンドマークの付いたキーが Meta キーです。

   <Meta> <Stop>

   ポインタなどのグラブが信頼できない場合は、このポインタはストライプに移動します。信頼できるポインタはトラステッドストライプには移動しません。

2. Sun 製以外のキーボードでは、次のキーの組み合わせを使用してください。

   <Alt> <Break>

   キーを同時に押して、ラップトップコンピュータ上で現在のデスクトップのフォーカスへの制御を取り戻します。

例 5-3 パスワードのプロンプトが信頼できるかどうかテストする

Sun 製キーボードを使用している x86 システム上で、ユーザーがパスワードの入力を求められたとします。カーソルはグラブされた状態になり、パスワード入力ダイアログボックスの中にあります。プロンプトが信頼できることを確認するために、ユーザーは <Meta> <Stop> キーを同時に押します。ポインタがダイアログボックスの中に残っているときに、ユーザーはパスワードプロンプトが信頼できることを認識します。

ポインタがトラステッドストライプに移動していた場合は、ユーザーはパスワードプロンプトが信頼できないことがわかるので、管理者に連絡します。

例 5-4 ポインタを強制的にトラステッドストライプに移動させる

この例では、ユーザーはトラステッドプロセスを実行していませんが、マウスポインタを確認できません。ポインタをトラステッドストライプの中央に移動させるために、ユーザーは <Meta> <Stop> キーを同時に押します。

ラベルの 16 進値を求める

この手順では、ラベルの内部 16 進形式について説明します。この形式は、公共ディレクトリでの格納に安全です。詳細は、atohexlabel(1M) のマニュアルページを参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。詳細は、「Trusted Extensions の大域ゾーンに入る」を参照してください。

• ラベルの 16 進値を求めるには、次のいずれかの操作を行います。
  • 機密ラベルの 16 進値を求めるには、ラベルをコマンドに渡します。

    $ atohexlabel "CONFIDENTIAL : NEED TO KNOW"
    0x0004-08-68

  • 認可上限の 16 進値を求めるには、-c オプションを使用します。

    $ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
    0x0004-08-68

    ---

    注 - 可読式の機密ラベルと認可上限ラベルは label_encodings ファイルの中のルールに従って形成されます。各ラベルタイプでは、このファイルの別々のセクションにあるルールを使用します。機密ラベルと認可上限ラベルの両方が根本的に同じレベルの機密性を表している場合は、両方のラベルはまったく同じ 16 進形式になります。ただし、両ラベルの可読形式は異なることがあります。可読形式のラベルを入力として受け入れるシステムインタフェースは、1 つのタイプのラベルを想定しています。ラベルタイプの文字列が異なっている場合、これらの文字列は相互に利用することはできません。

    デフォルトの label_encodings ファイルでは、認可上限ラベルと同等のテキストにコロン (:) は含まれません 。

    ---

例 5-5 atohexlabel コマンドの使用法

有効なラベルを 16 進形式で渡すと、コマンドは次のように引数を返します。

$ atohexlabel 0x0004-08-68
0x0004-08-68

管理ラベルを渡すと、コマンドは次のように引数を返します。

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

注意事項

atohexlabel parsing error found in <string> at position 0 というエラーメッセージは、atohexlabel に渡した <string> 引数が有効なラベルまたは認可上限でないことを意味しています。入力を確認し、インストールした label_encodings ファイルにラベルが存在していることを確認します。

可読のラベルを 16 進形式から取得する

この手順では、内部データベースに格納されているラベルを確認する方法について説明します。詳細は、hextoalabel(1M) のマニュアルページを参照してください。

始める前に

大域ゾーンでセキュリティー管理者役割になります。

• ラベルの内部表現に相当するテキストを取得するには、次のいずれかの操作を行います。
  • 機密ラベルに相当するテキストを取得するには、ラベルの 16 進形式を渡します。

    $ hextoalabel 0x0004-08-68
    CONFIDENTIAL : NEED TO KNOW

  • 認可上限に相当するテキストを求めるには、-c オプションを使用します。

    $ hextoalabel -c 0x0004-08-68
    CONFIDENTIAL NEED TO KNOW

システムファイルでセキュリティーデフォルトを変更する

Trusted Extensions では、セキュリティー管理者がシステムのデフォルトのセキュリティー設定を変更したり、それにアクセスしたりします。

セキュリティー設定は、/etc/security ディレクトリと /etc/default ディレクトリにあるファイルに記述されています。Oracle Solaris システムで、スーパーユーザーはこれらのファイルを編集できます。Oracle Solaris のセキュリティー情報については、『Solaris のシステム管理: セキュリティーサービス』の第 3 章「システムアクセスの制御 (タスク)」を参照してください。

---

注意 - システムのセキュリティーデフォルトを変更するのは、サイトのセキュリティーポリシーで許可されている場合のみにしてください。

---

始める前に

大域ゾーンでセキュリティー管理者役割になります。

• トラステッドエディタを使用して、システムファイルを編集します。

  詳細は、「Trusted Extensions の管理ファイルを編集する」を参照してください。

  次の表に、セキュリティーファイルとファイル内で変更すべきセキュリティーパラメータの一覧を示します。

  
  

  ファイル タスク 参照先 /etc/default/login パスワード試行の許容回数を減らします。 『Solaris のシステム管理: セキュリティーサービス』の「すべてのログイン失敗操作を監視する方法」にある例を参照してください。 passwd(1) のマニュアルページ /etc/default/kbd キーボードでの停止を無効にします。 『Solaris のシステム管理: セキュリティーサービス』の「システムのアボートシーケンスを無効にする方法」 注 - 管理者がデバッグの目的で使用するホストでは、KEYBOARD_ABORT のデフォルト設定によって kadb カーネルデバッガへのアクセスが許可されています。デバッガの詳細は、kadb(1M) のマニュアルページを参照してください。 /etc/security/policy.conf ユーザーパスワードに対してより強力なアルゴリズムを要求します。 このホストのすべてのユーザーから基本的な特権を削除します。 このホストのユーザーを Basic Solaris User の承認に制限します。 policy.conf(4) のマニュアルページ /etc/default/passwd ユーザーに頻繁なパスワード変更を要求します。 ユーザーに最大限に異なるパスワードの設定を要求します。 より長いユーザーパスワードを要求します。 辞書で見つからないようなパスワードを要求します。 passwd(1) のマニュアルページ