Go to main content
Oracle® Solaris 11 セキュリティーと強化ガイドライン

印刷ビューの終了

更新: 2016 年 11 月
 
 

インストール後の Oracle Solaris 11 セキュリティー

Oracle Solaris は、「デフォルトでのセキュリティー強化」(SBD) でインストールされます。このセキュリティー状況では、さまざまなセキュリティー機能の中でも特に、侵入からのシステムの保護と、ログイン試行のモニタリングが行われます。

システムアクセスの制限とモニター

初期ユーザーおよび root 役割アカウント – 初期ユーザーアカウントはコンソールからログインできます。このアカウントには root 役割が割り当てられます。インストール時には、初期ユーザーと root アカウントのパスワードは同一です。

  • ログイン後、初期ユーザーは root 役割になって、システムを引き続き構成できます。役割を引き受けると、ユーザーは root パスワードを変更するように要求されます。役割 (root 役割を含む) は直接ログインできないことに注意してください。

  • 初期ユーザーには、/etc/security/policy.conf ファイルからデフォルト値が割り当てられます。デフォルト値には、基本 Solaris ユーザー権利プロファイルおよびコンソールユーザー権利プロファイルが含まれています。これらの権利プロファイルによって、ユーザーはコンソールの前に座ったときに、CD または DVD への読み取りと書き込みを行なったり、特権なしでシステムでコマンドを実行したり、システムを停止して再起動したりできます。

  • 初期ユーザーアカウントには、システム管理者権利プロファイルも割り当てられています。したがって、初期ユーザーは root 役割を引き受けなくても、ソフトウェアをインストールする権限やネームサービスを管理する権限などの管理者権限を持っています。

パスワード要件 – ユーザーパスワードは、少なくとも 6 文字にし、少なくとも 2 つの英文字と 1 つの非英文字を使用する必要があります。パスワードは、SHA256アルゴリズムを使用してハッシュ化されます。パスワードを変更したら、root 役割を含むすべてのユーザーがパスワード要件に準拠する必要があります。

制限されたネットワークアクセス – インストール後、システムはネットワーク経由での侵入から保護されます。初期ユーザーによるリモートログインは、Secure Shell プロトコルで認証および暗号化された接続経由で許可されます。これは、受信パケットを許可する唯一のネットワークプロトコルです。Secure Shell 鍵は、AES128 アルゴリズムによってラップされます。暗号化と認証を適用することで、ユーザーは傍受、改変、スプーフィングを受けることなくリモートシステムに到達できます。

記録されたログイン試行 – 監査サービスは、すべての login/logout イベント (ログイン、ログアウト、ユーザーの切り替え、Secure Shell セッションの起動と停止、画面のロック)、およびユーザーに起因しないすべての (失敗した) ログインに対して有効になっています。root 役割はログインできないため、root の役目を果たしているユーザーの名前が監査証跡に記録されます。初期ユーザーは、システム管理者権利プロファイルから付与された権限で監査ログをレビューできます。

カーネル、ファイル、およびデスクトップの適切な配置

初期ユーザーがログインしたあとは、カーネル、ファイルシステム、システムファイル、およびデスクトップアプリケーションがファイルアクセス権、特権、およびユーザー権利によって保護されます。ユーザー権利は、役割によるアクセス制御 (RBAC) とも呼ばれます。

カーネル保護 – 多くのデーモンおよび管理コマンドには、正常に実行できるための特権のみが割り当てられます。多くのデーモンは、root (UID=0) 特権を持たない特別な管理者アカウントから実行されるため、その他のタスクを実行するためにハイジャックできません。このような特別な管理者アカウントはログインできません。デバイスは特権によって保護されます。

ファイルシステム - デフォルトでは、すべてファイルシステムが ZFS ファイルシステムです。ユーザーの umask022 であるため、ユーザーが新しいファイルまたはディレクトリを作成すると、そのユーザーだけに変更が許可されます。ユーザーグループのメンバーは、ディレクトリの読み取りと検索、およびファイルの読み取りが許可されます。ユーザーグループ外部でのログインでは、ディレクトリを一覧表示し、ファイルを読み取ることができます。デフォルトのディレクトリアクセス権は、drwxr-xr-x (755) です。ファイルアクセス権は -rw-r--r-- (644) です。

システムファイル - システム構成ファイルはファイルアクセス権によって保護されます。root 役割、または特定のファイルシステムを編集する権利を割り当てられたユーザーだけが、システムファイルを変更できます。

デスクトップアプレット - デスクトップアプレットは権利管理によって保護されます。したがって、管理アクション (印刷マネージャーでのリモートプリンタの追加など) は、印刷の管理者権限を持っているユーザーおよび役割に制限されます。

Oracle Hardware Management Package

Oracle Hardware Management Package は、Oracle サーバーの構成、管理、およびモニタリングに使用する一連のユーティリティーを提供します。この Oracle ハードウェア用の付加価値ツールセットは、いつでも使用できます。特定のハードウェアに関する情報を ILOM に自動的に配信して、ILOM によるシステムハードウェアの表示を完成させることができます。これらのユーティリティーとセキュリティーについては、システム管理と診断のドキュメント (http://www.oracle.com/goto/ohmp/docs)を参照してください。

Copyright © 2011, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ