Trusted Extensions でのユーザーセキュリティーの計画
Trusted Extensions ソフトウェアは、ユーザーに対して適切なセキュリティーデフォルトを提供します。このようなセキュリティーデフォルト設定をTable 1–2 に示します。2 つの値が示されている場合、最初の値がデフォルト値です。セキュリティー管理者は、サイトのセキュリティーポリシーに合わせてデフォルト値を変更できます。セキュリティー管理者がデフォルト設定を行なったあと、システム管理者がすべてのユーザーを作成できます。それらのユーザーは設定されたデフォルト値を継承します。このようなデフォルト設定のキーワードや値については、label_encodings(4) および policy.conf(4) のマニュアルページを参照してください。
表 1-2 ユーザーアカウントに関する Trusted Extensions のセキュリティーデフォルト設定 | | |
/etc/security/policy.conf
| IDLECMD
| lock | logout
|
IDLETIME
| 15
|
CRYPT_ALGORITHMS_ALLOW
| 1,2a,md5,5,6
|
CRYPT_DEFAULT
| 5 (sha256)
|
LOCK_AFTER_RETRIES
| no | yes
|
PRIV_DEFAULT
| basic
|
PRIV_LIMIT
| all
|
AUTHS_GRANTED
| solaris.device.cdrw
|
CONSOLE_USER
| Console User
|
PROFS_GRANTED
| Basic Solaris User
|
/etc/security/tsol/label_encodings の LOCAL DEFINITIONS セクション
| Default User Clearance
| CNF INTERNAL USE ONLY
|
Default User Sensitivity Label
| PUBLIC
|
|
注 - IDLECMD 変数と IDLETIME 変数はログインユーザーのセッションに適用されます。ログインユーザーがある役割になると、その役割に対するユーザーの IDLECMD 値と IDLETIME 値が有効となります。
システム管理者は、すべてのユーザーに適切なシステムデフォルト値を設定するための標準ユーザーテンプレートを作成できます。たとえば、デフォルトでは各ユーザーの初期シェルは Bash シェルになります。システム管理者は、各ユーザーに対して pfbash シェルを設定したテンプレートを作成できます。