ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
Trusted Extensions でのリモートシステムの管理方式
Trusted Extensions での役割によるリモートログイン
Trusted Extensions でのリモートログイン管理
Trusted Extensions のリモート管理 (タスクマップ)
Trusted Extensions でコマンド行からリモートでログインする
dtappsession で Trusted Extensions をリモート管理する
Trusted Extensions システムから Solaris 管理コンソールを使ってシステムをリモート管理する
ラベルなしシステムから Solaris 管理コンソールを使ってシステムをリモート管理する
特定のユーザーが Trusted Extensions の大域ゾーンにリモートでログインできるようにする
Xvnc を使用して Trusted Extensions システムにリモートアクセスする
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
デフォルトでは、Trusted Extensions ではリモート管理が許可されていません。Trusted Extensions が構成されたシステムを、信頼できないリモートシステムで管理できるとしたら、リモート管理によって重大なセキュリティーリスクが発生します。そのため、システムはリモートで管理されているオプションなしで最初にインストールされます。
ネットワークが構成されるまで、すべてのリモートホストには admin_low のセキュリティーテンプレートが割り当てられます。したがって、どの接続でも CIPSO プロトコルは使用されず、受け付けられません。この初期状態の間、システムは複数のメカニズムによってリモート攻撃から保護されています。このメカニズムには、netservices 設定、デフォルトログインポリシー、PAM ポリシーなどがあります。
netservices サービス管理機能 (SMF) プロファイルが limited に設定されている場合、リモートサービスは Secure Shell だけが有効になっています。しかし、ログインポリシーおよび PAM ポリシーのため、ssh サービスを使用してリモートログインすることはできません。
/etc/default/login ファイルの CONSOLE のデフォルトポリシーによって root によるリモートログインが禁止されているため、root アカウントを使用してリモートログインすることはできません。
リモートログインは、PAM の 2 つの設定の影響も受けます。
pam_roles モジュールは、アカウントタイプ role からのローカルログインを常に拒否します。デフォルトでは、このモジュールはリモートログインも拒否します。ただし、システムの pam.conf エントリで allow_remote を指定すれば、リモートログインを受け付けるようにシステムを構成することができます。
また、pam_tsol_account モジュールは、CIPSO プロトコルを使用しない限り、大域ゾーンへのリモートログインを拒否します。このポリシーの目的は、ほかの Trusted Extensions システムを使用してリモート管理を実行できるようにすることです。
リモートログイン機能を有効にするには、両方のシステムでその接続先を CIPSO セキュリティーテンプレートに割り当てる必要があります。この方法が現実的でない場合は、pam.conf ファイルで allow_unlabeled オプションを指定して、ネットワークプロトコルポリシーを引き下げることができます。これらのポリシーのいずれかを引き下げた場合、任意のマシンが大域ゾーンにアクセスできないようにデフォルトのネットワークテンプレートを変更する必要があります。admin_low テンプレートは慎重に使用し、tnrhdb データベースを修正して、ワイルドカードアドレス 0.0.0.0 が ADMIN_LOW ラベルのデフォルトにならないようにしてください。詳細は、「Trusted Extensions のリモート管理 (タスクマップ)」および「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。